Uw Chinese smartphone heeft mogelijk een ernstig beveiligingsprobleem

Advertentie

De allure van een goedkope smartphone kan moeilijk te weerstaan ​​zijn, vooral omdat ze nu bijna net zo capabel zijn als duurdere modellen. Het is om deze reden waarom voorheen onbekende Chinese fabrikanten zoals Huawei en Xiaomi zijn snel inhalen Waarom uw volgende Android-smartphone Chinees zou moeten zijnChinese smartphones hebben jarenlang een slechte reputatie gekregen, maar dit is waarom je zou moeten overwegen om er nu een te kopen. Lees verder meer gevestigde, premium fabrikanten, zoals Samsung, Sony en zelfs Apple.

Maar, zoals bij alle dingen, krijg je waar je voor betaalt. Een recent ontdekte kwetsbaarheid in veel goedkope Chinese handsets, waardoor een aanvaller root-toegang kan krijgen, bewijst die modus. Dit moet je weten.

De aanval begrijpen

Veel telefoons gebruiken SoC's (Systeem op chip Jargon Buster: The Guide to Understanding Mobile ProcessorsIn deze handleiding doorlopen we het jargon om uit te leggen wat u moet weten over smartphoneprocessors. Lees verder ) gebouwd door het Taiwanese MediaTek, een van de grootste halfgeleiderfabrikanten ter wereld. In 2013 produceerden ze een fenomenale 220 miljoen smartphone-chips. Een van hun grootste verkopers is de MT6582, die wordt gebruikt in een aantal low-end smartphones, waarvan er veel worden geproduceerd door Chinese fabrikanten zoals Lenovo en Huawei.

De MT6582 werd geleverd met een debug-instelling ingeschakeld, die volgens de fabrikant werd gebruikt om de "telecommunicatie-interoperabiliteit" in China te testen.

Hoewel dit nodig was voor MediaTek om de chip daadwerkelijk te ontwerpen en om ervoor te zorgen dat deze naar behoren werkt, vormt het achterlaten op een consumentenapparaat een ongelooflijk veiligheidsrisico voor consumenten. Waarom? Omdat het een aanvaller of een kwaadaardig stuk software in staat stelt root-toegang tot de telefoon te krijgen.

Daarom brak Mediatek de basisbeveiligingsfuncties om deze achterdeur te laten werken. Alleen-lezen eigenschappen zijn NIET alleen-lezen! pic.twitter.com/pEjtMNpo9v

- Justin Case (@jcase) 13 januari 2016

Hieruit zouden ze belangrijke systeembestanden en instellingen kunnen wijzigen en verwijderen, de gebruiker kunnen bespioneren en nog meer malware kunnen installeren zonder toestemming van de gebruiker. Als een aanvaller dat wilde, konden ze zelfs de telefoon blokkeren, waardoor deze permanent onbruikbaar werd.

Volgens The Register kan dit beveiligingslek alleen worden uitgevoerd op telefoons met versie 4.4 KitKat van het Android-besturingssysteem.

De ontdekking van dit beveiligingslek volgt een vergelijkbare fout in de OS-sleutelhanger van versie 3.8 van de Linux Kernel, die onthuld door onderzoekers in januari Deze waanzinnige fout in Linux geeft iedereen root-toegang tot je box Lees verder . Bij misbruik zou dit beveiligingslek een aanvaller in staat hebben gesteld root-toegang tot de machine te verkrijgen.

Deze kwetsbaarheid trof vrijwel elke distributie van Linux, evenals een aantal Android-telefoons. Gelukkig werd er snel een oplossing uitgegeven.

Leg je hooivorken neer

Hoewel vooral telefoons van Lenovo en Huawei worden getroffen, moet je ze niet de schuld geven. Ook al lijkt het misschien aantrekkelijk, aangezien sommige van deze fabrikanten een geschiedenis hebben van beveiligingsgerelateerde onjuistheden.

Vooral Lenovo is hier schuldig aan. In 2014 hebben ze SSL verbroken voor al hun gebruikers met SuperFish Eigenaren van Lenovo-laptops Let op: op uw apparaat is mogelijk vooraf malware geïnstalleerdDe Chinese computerfabrikant Lenovo heeft toegegeven dat op laptops die eind 2014 naar winkels en consumenten zijn verzonden, vooraf malware is geïnstalleerd. Lees verder . Vervolgens hebben ze hun laptops belast niet-verwijderbare, BIOS-gebaseerde malware. Vervolgens installeerden ze een griezelig, Big Brother-achtig analyseprogramma Nu zijn het DRIE vooraf geïnstalleerde malware op Lenovo-laptopsVoor de derde keer in een jaar is Lenovo betrapt op het verschepen van computers met klanten privacy-onvriendelijke malware, waaruit blijkt dat ze de lessen niet hebben geleerd van de publieke verontwaardiging Superfish. Lees verder op hun geavanceerde ThinkPad- en ThinkCenter-desktops.

Maar hier zijn hun handen schoon. Voor een keer. De schuld ligt bij de deur van MediaTek, die deze chips naar fabrikanten heeft verzonden met deze instelling ingeschakeld.

Ben ik getroffen?

Het is de moeite waard erop te wijzen dat dit beveiligingslek niet hetzelfde bereik heeft als het bovengenoemde Linux-beveiligingslek. De kwetsbaarheid is alleen te vinden op telefoons met een chipset die niet zijn verzonden op telefoons die in 2015 en 2016 zijn uitgebracht.

Het kan ook alleen worden uitgevoerd op telefoons met een zeer specifieke versie van Android, die ondanks het feit dat het op ongeveer een derde van de Android-telefoons draait, zeker niet alomtegenwoordig is.

Desondanks is het waarschijnlijk een goed idee om te controleren of je telefoon kwetsbaar is. Ik bezit namelijk een goedkope Chinese telefoon - een Huawei Honor 3C, die mijn belangrijkste apparaat was totdat ik in augustus naar Windows Phone sprong.

Allereerst heb ik het apparaat opgezocht GSMArena. Dit is in wezen de Encyclopedia Britannica van telefoons. Als een grote fabrikant het heeft uitgebracht, zal deze website er uitgebreide statistieken over geven. Hieronder vindt u informatie over de gebruikte chipset Platform. En ja hoor, mijn Huawei-telefoon bevat het.

Dus dan moet ik zien of ik de getroffen versie van Android gebruik. Ik opende Instellingenen vervolgens op getikt Over telefoon. Dit kan echter een beetje anders zijn voor je telefoon. Fabrikanten staan ​​bekend om het aanpassen van het instellingenmenu.

Gelukkig draait mijn telefoon op Android 4.2 Jellybean, die ondanks zijn lange adem niet wordt beïnvloed door dit beveiligingslek.

Als u wordt getroffen

Hoewel ik nogal wat geluk had, is het veilig om aan te nemen dat miljoenen telefoons hierdoor worden beïnvloed. Als dat zo is, is het verstandig om een ​​nieuwe telefoon aan te schaffen.

De Motorola Moto G De Moto G is officieel hier voor slechts $ 179 ontgrendeldMotorola heeft zojuist de geruchten Moto G aangekondigd, een goedkopere neef van de Moto X die $ 179 kost voor het 8GB-model en $ 199 voor het 16GB-model. Lees verder is een geweldige budgettelefoon, geproduceerd door een fabrikant die u kunt vertrouwen. Je kunt er een kopen op Amazon voor slechts $ 110. Als een toegevoegde bonus is Motorola nogal snel als het gaat om het uitgeven van software-updates, wat Huawei zeker niet is.

Als u het zich niet kunt veroorloven om te upgraden, is het verstandig om enkele eenvoudige beveiligingsmaatregelen te nemen. Probeer eerst te voorkomen dat u software downloadt van onbetwistbare bronnen. Download geen illegale apps Gebarsten Android-apps en -games: lees dit voordat u gaat downloadenDe statistieken liegen niet: de meeste Android-malware komt van buiten Google Play. Het downloaden van gekraakte apps - of welk type app dan ook - van een louche website of onbetrouwbare app store van derden is de manier ... Lees verder en “warez“ zoals de pest. Blijf bij de Google Play Store.

Waarschijnlijk zullen veel van de getroffen gebruikers gevestigd zijn in China, waar de Google Play Store niet beschikbaar is. Chinese consumenten moeten het doen met andere alternatieve app-winkels De 4 beste Google Play-alternatieven voor het downloaden van Android-appsWil je de Google Play Store niet gebruiken? Of heb je er geen toegang toe? Hier zijn de beste alternatieve app-winkels voor Android. Lees verder , waarvan er veel niet zo waakzaam zijn in het uitfilteren van malware als Google. Die consumenten zouden extra voorzichtig moeten zijn.

Kortom: wees bang, maar doe het niet

Deze kwetsbaarheid is eng. Het is eng omdat het voortkomt uit hoe een bepaald stuk hardware is geconfigureerd. Het is eng omdat er geen stappen zijn die een consument kan ondernemen om veilig te blijven.

Maar het is de moeite waard om te benadrukken dat de meerderheid van de consumenten hier geen last van heeft. Het betreft slechts een beperkt aantal apparaten, die rond 2013 en 2014 door een handvol fabrikanten zijn uitgebracht. De meeste mensen zou moeten wees goed.

Ben je geraakt? Zo ja, krijgt u een nieuwe telefoon? Of ben je niet zo bezorgd? Laat het me weten in de reacties hieronder.