Специалисты по безопасности все более и более волнуются по поводу безопасности цепочки поставок с отчетами о больше чем 20 инцидентах, где ритейлеры жулика имеют управляемый, чтобы предварительно установить вредоносное программное обеспечение на новых телефонах на базе Android.Ритейлеры жулика распаковывают телефоны, сделанные в Китае, устанавливая вредоносное программное обеспечение и затем продавая зараженные телефоны на открытом рынке, фирма безопасности G ДАННЫЕ заявила в отчете, опубликованном 1 сентября.Схема вовлекает заражающие в основном локальные бренды телефонов на базе Android – такие как Альпы, Xiaomi и даже строка устройств, известных как «NoName» – но также и это влияет на телефоны от известных международных брендов, таких как Huawei и Lenovo.
В то время как некоторые поставившие под угрозу телефоны были обнаружены так же далеко как Европа, устройства были в основном проданы через китайских ритейлеров, вероятных уличных торговцев в городских зонах Китая, согласно отчету ДАННЫХ G.Инциденты, которые вовлекают почти две дюжины брендов телефонов, подчеркивают текущие трудности при обеспечении технологии, когда это перемещается через цепочку поставок в ее место назначения.«Это происходит, прежде чем пользователь когда-либо получает телефон», сказал Энди Хэйтер, евангелист безопасности с ДАННЫМИ G, eWEEK. «Мы согласовали с некоторыми производителями, и они говорят нам, что это не происходит на их конце цепочки поставок».Инциденты подчеркивают опасности недоверяемых цепочек поставок.
Компании и правительственные учреждения стали взволнованными о безопасности цепочки поставок – поток товаров от производителя ритейлеру потребителям.В 2013 классифицированные документы, пропущенные бывшим подрядчиком Эдвардом Сноуденом, показали, что американское Агентство национальной безопасности и другие национальные спецслужбы регулярно пропитывали цепочки поставок, подающие технологию в страны интереса поставить под угрозу устройства, которые действуют как электронные родинки, согласно документам.
Устройства от Cisco, Dell и других производителей, например, были все изменены в пути к их месту назначения для включения имплантатов для включения контроля NSA.Недавние события демонстрируют, что даже неприметные потребители должны волноваться о происхождении их устройств и программного обеспечения, устанавливаемого ритейлерами и производителями.
В феврале, например, Lenovo поставил персональные компьютеры своих клиентов, предварительно загруженные с известным рекламным программным обеспечением, известным как Суперрыба.В июне производитель смартфонов Samsung признал потребительское давление и согласился позволить пользователям отключать предварительно установленные приложения, многие из которых замедлили системы и собрали данные по пользователям.
Поскольку мобильные устройства и Интернет вещей (IoT) становятся более распространенными, решение проблем безопасности цепочки поставки станет еще более срочным, сказала Теодора Титонис, вице-президент фирмы безопасности программного обеспечения Veracode, eWEEK.«Вы видите все эти средства вставки этих угроз нарушения безопасности в дыры в цепочке поставок программного обеспечения», сказала она. «Все перемещается так быстро и существуют все эти дыры, таким образом, это делает обеспечение устройства этим намного тяжелее».
В последней схеме, обнаруженной ДАННЫМИ G, ритейлеры жулика очевидно открыли поля новых телефонов на базе Android и обновили встроенное микропрограммное обеспечение со злонамеренной версией стандартной программы в этом случае, мобильного приложения Facebook.