חברת האבטחה Bluebox Labs בדקה תריסר טאבלטי אנדרואיד מבצעי Black Friday מקמעונאים גדולים כולל אמזון, Best Buy, Kmart, Kohl's, Staples, Target ו-Walmart ודיווחה על פגמי אבטחה "מזעזעים", תוכנות זדוניות ודלתות אחוריות פעילות שהותקנו במכשירים החדשים.
כל תריסר טאבלטי האנדרואיד "מכסחי הדלתות" השונים שנבדקו על ידי Bluebox נמצאו כלולים נקודות תורפה של אנדרואיד שלא תוכננו, כולל Masterkey, FakeID, Heartbleed ו-Futex, בעוד יותר מרבע נמכרו עם הגדרות שגויות של אבטחה או דלתות אחוריות פעילות מותקנות.
Bluebox גילתה את זה של אנדרואידמפתח מאסטרפגיעות "בוטנט זומבי" בשנה שעברה ומפורטתמזהה מזויףתוכנות זדוניות סופר מוקדם יותר הקיץ.
בעוד שגוגל פרסמה תיקונים לשני הפגמים - בנוסף לבאגים Heartbleed ו-Futex של אנדרואיד - העובדה היא שהקמעונאים הגדולים מקדמים באופן פעיל מוצרי אנדרואיד חדשים שעדיין מכילים את הפגיעויות הלא מתוקנות הללו. מספר מכשירים נשלחים גם עם ניצולים מרחוק פתוחים לרווחה, חוסמים גישה ל-Google Play ומשביתים את תכונות האבטחה שגוגל הוסיפה לאנדרואיד.
בין המכשירים הגרועים ביותר שנמכרו היה אDigiLandטאבלט אנדרואיד המוצע על ידי Best Buy, שהריץ תוכנה חתומה על ידי מפתח הבדיקה של Android Open Source Project. חברת האבטחה ציינה שהמפתח הזה "לא אמור לשמש לחתימה על הקושחה של מכשירים מסחריים מכיוון שהוא מאפשר לתוקף ליצור בקלות עדכון מערכת טרויאני!"
מכשיר ה-Best Buy נשלח גם עם חיבור ניפוי ה-USB למכשיר הפועל עם הרשאות שורש, "מה שאומר שהמכשיר יוצא למעשה מושרש מהקופסה", ציינה Bluebox.
Best Buy משווקת את הטאבלט כבעל רזולוציה של 1024 x 600 (נמוכה מהדור הראשון של ה-iPad של אפל מלפני ארבע שנים) ש"מציג מדיה בפירוט חד", ומופעל על ידי מעבד MediaTek ארבע ליבות עם גרפיקה בסיסית של ARM Mail 450 "עבור תמונות שופעות." בדף האינטרנט של Best Buy נאמר כי "92 אחוז מהלקוחות ימליצו על המוצר הזה לחבר".
Target, Kmart, Kohls, Staples, Walgreen משווקים טאבלטים גרועים של אנדרואיד לקראת החגים
RCA מרקוריטאבלטי אנדרואיד הנמכרים על ידי Target נמכרים עם "שתי נקודות תורפה ידועות מחוץ לקופסה", וכך גם טאבלטים של KmartMach Speed Xtremeטאבלט אנדרואיד. המכשיר האחרון גם "משבית את הגדרת תצורת האבטחה המגנה על הטאבלט מפני התקנת אפליקציות ממקורות זדוניים של צד שלישי".
אאִינְטֶלִיגֶנְטִיטאבלט אנדרואיד שנמכר על ידי Kohl's "היה הטאבלט הגרוע ביותר שנתקלו בו מכל ההרכב", הצהירה החברה, ופירטה כי הוא "פגיע לארבע פרצות אבטחה עיקריות של אנדרואיד, ניפוי USB מופעל כברירת מחדל, מגיע עם דלת אחורית אבטחה מראש. מותקן, חתום על ידי מפתח הבדיקה של AOSP, ואינו כולל את Google Play - ולכן הוא מצריך שימוש בשווקי אפליקציות של צד שלישי, שאינם נהנים מאבטחת האפליקציות הנוספת של Google תהליך המיון".
האתר של Kohl מציג את הטאבלט Zeki המתאר קמע אנדרואיד מנופף ומציין שהמכשיר תומך ב-Google Play ומצייר אותו כמצורף עם אפליקציות אחרות של גוגל, למרות היותו מכשיר AOSP.
אMach Speed JLab Pro-7הטאבלט הנמכר על ידי הספינות של Staple עם אנדרואיד 4.4.2, אך Bluebox מציינת שהוא כולל התאמות אישיות להסרת תכונות אבטחה שגוגל הוסיפה ב-4.4.2, כולל תיקון למניעת גניבת נתונים דרך יציאת ה-USB שלה. המכשיר הזול ארוז גם עם "מצב מפתח ואיתור באגים ב-USB מופעלים כברירת מחדל".
החברה ציינה כי ספיישל בלאק פריידיפולארוידנראה כי טאבלט A7 אנדרואיד המוצע על ידי Walgreen's הוא אותו דגם שאמזון מוכרת, שלדבריה "פגיע לארבעה באגי אבטחה ידועים של אנדרואיד, יוצא מהקופסה ומשבית כברירת מחדל את הגדרת תצורת האבטחה המגנה על הטאבלט מפני התקנה. אפליקציות ממקורות זדוניים של צד שלישי היו לו אחד מציוני האמון הנמוכים ביותר מכל הטאבלטים שנבדקו."
החברה הסבירה שהמכשיר "מושרש מראש", שכן "הוא כולל 'su' שהותקן על ידי המפעל, כלומר התוקף מקבל גישה בלתי מוגבלת למערכת מבלי להפעיל ניצול כדי להשיג גישה זו" וכי הוא "משבית כברירת מחדל, הגדרת תצורת האבטחה המגנה על הטאבלט מפני התקנת אפליקציות ממקורות זדוניים של צד שלישי."
לוולמארט ולאמזון יש את המבחר הגדול ביותר של אנדרואידים גרועים
בוולמארט, Bluebox רכשה מספר טאבלטים, כולל "ערך היום" של החנותחָלוּץטאבלט שנשלח עם שתי נקודות תורפה ידועות אך ללא תיקון וכןEmaticוRCAטאבלטים שלשניהם היו שלוש נקודות תורפה ואNextbookטאבלט עם שניים, שזכו לתואר "אחד הטאבלטים 'הטובים שבגרועים' בהרכב".
אגאדג'טים ללא דאגות Zeepadטאבלט אנדרואיד הנמכר על ידי Walmart מגיע עם "שתי פרצות אבטחה עיקריות של אנדרואיד, עם ניפוי USB מופעל כברירת מחדל, מגיע עם דלת אחורית אבטחה מותקנת מראש".
Bluebox גם גילתה שכמה טאבלטים נשלחו עם "תוכנות פרסום/סיכון" ידועות, כולל גרסה פיראטית של Angry Birds שהתפטרה על ידי ספק המכשיר.
"זה אומר שהספק יכול היה לשנות את Angry Birds כדי לאסוף יותר מידע ממה שהכותבים התכוונו במקור", הסבירה החברה. "זה גם מונע מהגרסה של Angry Birds בטאבלט אי פעם לקבל עדכונים מהמפתח המקורי, מכיוון שמפתחות החתימה שונים."
Bluebox Labs מציעה סורק אבטחה עבור אנדרואידים גרועים
Bluebox מציעה את זהאפליקציה אמינהב-Google Play כדי להעריך פגמי אבטחה ידועים והגדרות במכשירים. החברה מספקת גם אמדריך אבטחת משתמש אנדרואידרשימת בדיקה עבור מכשירי אנדרואיד 4.0 ואילך, הכוללת הצעות להשבית תכונות אנדרואיד לא מאובטחות כגון NFC, שיתוף קבצים DLNA ושיקוף מסך, במיוחד במכשירי סמסונג.
חברת האבטחה ציינה כי יש סיכוי גבוה יותר שטאבלטים עם אנדרואיד במחירים גבוהים יותר יישלחו ללא פגיעויות ידועות או תצורות אבטחה שגויות, וציטטה הן את Samsung Galaxy Tab3 והן את ה-Nexus 9 ממותג גוגל של HTC כ"אמינים".
עם זאת, רוב משלוחי הטאבלטים של אנדרואיד הם מכשירי מציאה; של גוגלNexus 9כביכול לא באמת מיועד למכור אלא לספק דגם שיוכלו לספקי אנדרואיד לעקוב אחריהם. עבור ספקים רבים, מעקב אחר ההובלה של גוגל אינו באינטרס העצמי שלהם, במיוחד בקרב מכשירי AOSP שנועדו למכור אפליקציות מחנויות של צד שלישי או לאסוף נתונים מקונים תמימים.
השוואת תפוחים לאנדרואידים
חברת האבטחה סיכמה, "שים לב שלא כל המכשירים שווים לאבטחה. Bluebox Labs רואה באופן שוטף הרבה אבטחה מתחת לממוצע עבור מכשירי אנדרואיד מציאים. אנו ממליצים להימנע מאלה אם אתה יכול; אחרת, השתמש בהם רק לפעילויות בסיכון נמוך כמו משחקים פשוטים, בידור מדיה וגלישה ציבורית באינטרנט. אנו ממליצים להימנע מניהול בנקאות מקוונת, ביצוע רכישות או אחסון נתונים רגישים במכשירים אלה - אם תעשה זאת, אתה תשים את שלך. נתונים בסיכון."
Bluebox מציעה גם הרבה יותר קצרמדריך אבטחת משתמש iOS; היישום של אפל שלNFC,AirDropשיתוף קבצים וAirPlayשיקוף מסך כולם מאובטחים מספיק כדי ש-Bluebox לא תמליץ למשתמשים לכבות אותם במדריך האבטחה שלו.
Bluebox לא מתחזקת אפליקציית סורק פגיעות עבור iOS, שאינה מושפעת מ-Masterkey, FakeID, Heartbleed ו-Futex. אפל גם לא מאפשרת לספקי צד שלישי למכור גרסאות משוונות של iOS עם תכונות אבטחה שהוסרו או מושבתות, ומנפיקה באופן קבוע תיקוני אבטחה עבור משתמשי iOS שלה.
