Onderzoekers van beveiligingsbedrijf Kryptowire hebben in totaal 146 kwetsbaarheden gevonden die af fabriek op Android-smartphones staan. Het gaat in totaal om 29 verschillende fabrikanten, waaronder grote namen. Het onderzoek is gefinancierd door de Amerikaanse Department of Homeland Security.
In de lijst van fabrikanten komen veel kleine partijen voorbij, maar Asus, Samsung en Xiaomi zijn bijvoorbeeld uitschieters. Vaak gaat het om apps die voorgeïnstalleerd zijn door de fabrikant, waarin verschillende soorten kwetsbaarheden zitten. In ruim 20% van de gevallen is code execution mogelijk en bij 23% is het mogelijk om apps te installeren.
In het geval van Samsung gaat het volgens de onderzoekers om zes verschillende applicaties die in totaal 33 kwetsbaarheden omvatten. Twee daarvan zijn door externe bedrijven ontwikkeld. Als reactie verwijst het bedrijf naar de externe partijen, aldus Wired. Van de overige vier die door Samsung zelf zijn gemaakt is het bedrijf van mening dat het Android Security Framework de kwetsbaarheden opvangt. De onderzoekers spreken dat tegen.
Bij Samsung gaat het alleen om lekken die door systeem-apps misbruikt kunnen worden, maar bij andere fabrikanten zijn er ook kwetsbaarheden die andere apps kunnen misbruiken. Zo gaat het bij Xiaomi om twaalf van die gevallen, bij Asus zes stuks en bij Sony twee. In theorie zijn deze lekken door elke app te misbruiken.
De volledige lijst van cve's is op de website van Kryptowire te vinden.
Bronnen: Wired, Kryptowire
