MediaTek

הכירו את MTK-su – פרצת אבטחה קריטית המשפיעה על מיליוני מכשירי אנדרואיד

| יום שלישי, 3 במרץ 2020, 17:05 | אבטחה, סלולר

פרסום חדש של אתר XDA שהגיע יחד עם עדכון האבטחה לחודש מרץ של חברת גוגל (Google) חשפו באופן פומבי את פרצת ה-MediaTek-su, או בקיצור MTK-su, שקיבלה את קוד הזיהוי CVE-2020-0069. הפרצה אותרה במקור עוד באפריל 2019, ומאפשרת לקבל “גישת מנהל” (Root Access) לא מאושרת למכשירי אנדרואיד המשתמשים במערכות השבבים של חברת MediaTek.

מקור הפרצה החדשה הוא אתר XDA עצמו, או יותר נכון המפתח diplomatic מפורום אתר XDA, שאיתר את הפרצה החדשה כחלק מהניסיון שלו לפרוץ את מערכת האנדרואיד על מכשירי הטאבלט מסדרת FIRE HD של אמזון, על מנת לאפשר להתקין עליהם שירותי צד ג’, דוגמת חנות האפליקציות של גוגל.

בעוד הפרצה המקורית נועדה למכשירי ה-FIRE HD של אמזון, התברר כי מדובר למעשה על פרצה אוניברסלית שיכולה לעבוד על מגוון רחב מאוד של מערכות שבבים מבית MediaTek. בעוד חברת MediaTek פרסמה תיקון לפרצת ה-MTK-su כחודש בלבד לאחר הגילוי באתר XDA, יצרני מכשירים רבים לא טרחו להטמיע את תיקון האבטחה החדש, מה שמשאיר מיליוני מכשירים שעדיין חשופים לפרצה, דבר שצפוי להיפתר בזכות הכנסת תיקון הפרצה כחלק מעדכון האבטחה של גוגל לחודש מרץ, דבר שיחייב יצרנים לתקן את הפרצה במידה והם רוצים להשתמש בעדכון האבטחה העדכני.

פירוט פרצת CVE-2020-0069 (מקור MediaTek)

היזהרו מאפליקציות בחנות של גוגל

לפי בדיקה של חברת האבטחה trendmicro, אותרו כבר מספר אפליקציות זדוניות בחנות האפליקציות של גוגל שניצלו את פרצת ה-MTK-su על מנת להשתיל קוד זדוני נוסף במכשיר ללא ידיעת המשתמש, כאשר נכון להיום פרצת ה-MTK-su משפיעה על כלל מכשירי האנדרואיד המשתמשים במערכת שבבים מסוג MediaTek ARMv8 ומריצים את מערכת ההפעלה אנדרואיד בגרסה 7, 8 או 9, מלבד אלו של חברות סמסונג, OPPO, VIVO, וואווי, הונור ואמזון שתיקנו את הפרצה או משתמשות בקרנל לינוקס שמונע את האפשרות להשתמש בה.

אפליקציות חשודות בשימוש בפרצת MTK-su (מקור trendmicro)

פרצת ה-MTK-su החדשה חושפת למעשה את אחת מהבעיות העיקריות בתחום האבטחה במכשירי האנדרואיד – חוסר השליטה של יצרני שבבים על יצרני המכשירים. בעוד שהפרצה אותרה באפריל 2019 ותוקנה על ידי MediaTek במאי 2019, היא לא תוקנה על ידי יצרנים רבים גם כ-10 חודשים לאחר הגילוי המקורי, לאור העובדה כי MediaTek איננה יכולה לכפות על היצרנים לממש את התיקון. רק כעת מתבצעת הכללת התיקון דרך עדכון האבטחה של חודש מרץ 2020 של גוגל, גם זה עדיין אינו זמין על מכשירים רבים בשוק.

במאגר הקופונים שלנו כבר ביקרתם?
סמארטפונים וגאדג'טים במחירים נוחים ובמשלוח ישיר עד הבית
לחצו כאן
תגובות לכתבה
גאדג'טי | Gadgety
ניווט באתר
קטגוריות
גאדג'טי
חיפוש כתבות