Смартфоны ASUS, HTC, Huawei, Lenovo, LG, Samsung, Sony легко взломать технологией, созданной для древнего модема

28 авг 2018 13:40 #71647 от ICT
Минуточку внимания Эксперты Университета штата Флорида, Университета Стони-Брук и Samsung Research America обнаружили, что различные комбинации AT-команд, поддерживаемые миллионами различных мобильных устройств, могут использоваться для совершения кибератак. ( https://securityaffairs.co/wordpress/75683/hacking/at-commands-attacks-android.html ) AT-команды (AT происходит от англ. attention — «внимание»), набор команд, разработанных в 1977 г. компанией Hayes для собственной разработки, модема Smartmodem 300 baud. Это набор команд, который состоит из серий коротких текстовых строк, которые объединяют вместе, чтобы сформировать полные команды операций, таких как набор номера, начала соединения или изменения параметров подключения. На сегодняшний день международные регулирующие органы определили список AT-команд, которые смартфоны должны поддерживать обязательно, но в реальности многие производители дополняют «обязательный список» своими специализированными командами, которые используются для управления различными специфическими функциями. И вот тут как раз и кроется угроза. Эксперты проанализировали более 2000 образов фирменного ПО (прошивок) 11 производителей мобильных устройств под Android - ASUS, Google, HTC, Huawei, Lenovo, LG, LineageOS, Motorola, Samsung, Sony и ZTE. Обнаружилось, что эти устройства поддерживают более 3500 различных типов AT-команд. В некоторых случаях AT-команды позволяли получить доступ к очень опасным функциям, реализованным вендорами; очень часто эти функции даже не были задокументированы, - вплоть до полного отсутствия упоминаний о них в документах. USB-устройство – всё, что нужно Выяснилось, например, что практически все устройства поддерживали приём AT-команд через интерфейс USB; для совершения атаки с их помощью злоумышленнику потребовалось бы иметь физический доступ к устройству или использовать вредоносный компонент в док-станции или зарядном устройстве. Эксперты установили, что с помощью одних только AT-команд можно производить целый ряд очень серьёзных манипуляций, вплоть до перезаписывания прошивки, обхода средств безопасности Android, вывода важной информации, разблокирования экрана и имитации событий прикосновения к сенсорному экрану. С помощью такой имитации злоумышленник может полностью поставить устройство под свой удалённый контроль. Мало того, направлять такие команды на телефон можно даже в тех случаях, когда он заблокирован. Не прибрались? «Судя по приведённому описанию, AT-команды, особенно незадокументированные, представляют собой очень эффективный вектор для совершения кибератак на мобильные устройства, - говорит Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - То, что для реального осуществления атаки потребуется иметь физический доступ или вредоносное USB-устройство, остроту проблемы, конечно, снижает, но не очень сильно. Ситуация напоминает дом, где входная дверь заперта на самый современный замок, а форточка оставлена открытой. Причём вопросы в данном случае следует задавать производителям прошивок: незадокументированными, скорее всего, остались те AT-команды, которые использовались для внутреннего тестирования разработчиками, и вообще не должны были попасть в итоговую версию фирменного ПО». Результаты исследований опубликованы . Авторы также опубликовали shell-скрипт , с помощью которого находили в исследуемых прошивках элементы, связанные с использованием AT-команд, и составили список моделей смартфонов и их версий прошивок, которые раскрывают AT-интерфейс. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Сверхдорогой флагман Samsung S10 легко может взломать даже ребенок. Видео18.39Понедельник, 11 марта 2019
    Власти России взволновались из-за цен на смартфоны. Под ударом LG, Sony, Alcatel и Asus15.76Понедельник, 19 декабря 2016
    Смартфоны Samsung можно взломать при заблокированном экране15.72Среда, 13 апреля 2016
    Полицию не вызвать: Смартфоны Asus, Sony и OnePlus самовольно перезагружаются при наборе «911»15.59Среда, 19 июля 2017
    О смартфонах и не только #5: Google I/O 2015, Samsung Galaxy S6 с модулями Sony и Samsung, сколько зарабатывает Sony с каждого iPhone и 10-ядерный Snapdragon12.85Вторник, 12 мая 2015
    Ноутбуки HP, Acer и Asus оказались полны уязвимостей, позволяющих взломать их за 10 минут12.63Среда, 01 июня 2016
    Android 7.0 легко запустили на Huawei P912.47Пятница, 29 июля 2016
    Человечество разлюбило дорогие смартфоны: Samsung, Apple и Huawei сокращают производство12.27Среда, 29 июня 2016
    Lenovo представила в России фаблет Phab 2 Pro с технологией Tango12.22Вторник, 18 апреля 2017
    Через умные телевизоры Sony можно взломать домашнюю сеть12.19Вторник, 09 октября 2018

    Мы в соц. сетях