MediaTek закрыла опасные уязвимости, затронувшие миллиарды смартфонов и IoT

MediaTek закрыла опасные уязвимости, затронувшие миллиарды смартфонов и IoT

MediaTek закрыла опасные уязвимости, затронувшие миллиарды смартфонов и IoT

Июльский набор обновлений для продуктов MediaTek устраняет 16 уязвимостей высокой и умеренной степени опасности в чипсетах, широко используемых в смартфонах, планшетах, встраиваемых устройствах и IoT.

Уведомления о новых проблемах и соответствующих патчах были разосланы OEM-провайдерам как минимум за два месяца до публикации. Пользователям рекомендуется отслеживать обновление прошивок и переходить на более современные версии по мере их выхода.

Уязвимость CVE-2025-20680 (переполнение буфера в куче) появилась в драйвере Bluetooth из-за некорректной проверки границ выделенной области памяти. Эксплойт позволяет повысить локальные привилегии без взаимодействия с юзером. Проблема актуальна для чипсетов MT7902, MT7920, MT7921, MT7922, MT7925 и MT7927, в особенности тех, что используют NB SDK 3.6 и ниже.

Уязвимости с CVE-2025-20681 по CVE-2025-20684 в драйвере точки доступа WLAN тоже грозят повышением привилегий в системе. Затронуты чипсеты MT6890, MT7615, MT7622, MT7663, MT7915, MT7916, MT7981, MT7986, а также SDK выпусков до 7.6.7.2 и OpenWRT версий 19.07 и 21.02.

Проблемы CVE-2025-20685 и CVE-2025-20686 (переполнение буфера в куче) в драйвере точки доступа WLAN позволяют злоумышленнику удаленно выполнить свой код в системе. Уязвимости актуальны для чипсетов MT6890, MT7915, MT7916, MT7981, MT7986, использующих SDK 7.6.7.2 и ниже, и составляют большую угрозу для IoT-устройств с беспроводным доступом через сети общего пользования.

Уязвимость CVE-2025-20687 (чтение за границами буфера) в драйвере Bluetooth в случае эксплойта может привести к отказу в обслуживании (DoS). Ей подвержены чипсеты с MT7902 по MT7927, работающие на основе NB SDK 3.6 и ниже.

Многочисленные возможности раскрытия локально хранимой конфиденциальной информации, выявленные в драйвере точки доступа WLAN (с CVE-2025-20688 по CVE-2025-20692), связаны с ошибками чтения за границами буфера. Их наличие подтверждено для чипсетов MT7615, MT7622, MT7663, MT7915 и MT7986, а также SDK и OpenWRT упомянутых версий.

Проблема CVE-2025-20693, обнаруженная в драйвере WLAN режима STA, позволяет получить удаленный доступ к содержимому памяти, притом без дополнительных привилегий и взаимодействия с пользователем. Уязвимости подвержены десятки чипсетов, с MT2737 и MT6886 по MT8893 и MT8796, которые используются в устройствах под Android 13/14/15, OpenWRT 21.02 и 23.05, а также Yocto 4.0.

В прошивке Bluetooth были найдены еще две уязвимости, CVE-2025-20694 и CVE-2025-20695. Обе классифицируются как переполнение через нижнюю границу буфера, способное привести к DoS, и затрагивают чипсеты с MT2718 по MT8796, используемые в Android-смартфонах и встраиваемых устройствах с дистрибутивами Linux.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

X лидирует по сбору данных о местоположении пользователей среди соцсетей

Новое исследование, посвящённое практикам сбора данных о местоположении в крупнейших социальных сетях, показало: пользователи делятся куда большим объёмом информации, чем привыкли думать.

Анализ деклараций в App Store по десяти популярным платформам — включая X, Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), Facebook (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), TikTok и другие — выявил, что именно X собирает максимальный объём сведений о местоположении.

Сервис получает как точные координаты, так и «приблизительные» данные — и делает это для всех целей, указанных в магазине приложений.

Как соцсети отслеживают местоположение

Практически все платформы в той или иной форме собирают информацию о местоположении пользователей. Даже если в настройках отключён доступ к точным координатам, компании могут определить примерное местоположение по IP-адресу, Bluetooth-сигналам или сопоставлению с другими источниками данных.

 

«Точные» координаты (с точностью до трёх и более знаков после запятой) позволяют формировать детальную картину передвижений: от места работы и визитов в медучреждения до интимных деталей вроде ночёвок вне дома. Сбор таких данных может происходить каждые полчаса.

Кто и зачем собирает данные:

  • X, Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), Threads, Facebook (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), Pinterest и Snapchat используют точные геоданные для таргетированной рекламы.
  • 90% платформ собирают хотя бы приблизительное местоположение для рекламных целей.
  • Для собственных маркетинговых кампаний 60% соцсетей также применяют точные координаты.

Таким образом, у платформ формируется несколько параллельных каналов для создания подробных профилей пользователей.

Интересно, что Reddit оказался самым «щадящим»: он не связывает местоположение с личностью пользователя и не собирает точные координаты. TikTok и Reddit ограничиваются лишь грубыми данными.

В противоположность им, X, Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), Threads, Facebook (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) и Pinterest отмечены как наиболее настойчивые в сборе геоинформации — в том числе для неясно обозначенных «других целей», что вызывает вопросы о прозрачности.

Проблема доверия

Авторы исследования отмечают явный разрыв между ожиданиями пользователей и фактическими практиками компаний. Даже отключение геолокации не гарантирует полной приватности — платформы находят способы получать данные через косвенные признаки.

Вывод один: сбор и использование геоданных стал повсеместным инструментом соцсетей, а X сегодня занимает первое место по интенсивности и полноте отслеживания. Для пользователей это означает новые вызовы в попытках сохранить личную жизнь под контролем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru