Här är Android-telefonerna som säljs med inbyggda säkerhetshål

Miljontals Android-telefoner säljs med inbyggda säkerhetshål. Det avslöjade amerikanska mobilsäkerhetsfirman Kryptowire i samband med konferensen Def Con i Las Vegas. Bland enheterna med inbyggda sårbarheter återfinns bland annat Asus Zenfone 3 Max, Asus Zenfone V Live, Essential, LG G6, Nokia 6, Vivo V7 och ett flertal ZTE-modeller.

En obehörig kan på några av modellerna läsa, redigera eller skicka textmeddelanden. Det kan också vara möjligt att spara skärmdumpar, återställa en enhet till dess fabriksinställningar eller få åtkomst till enhetens mikrofon. Den obehörige måste dock i de flesta fall få ett potentiellt offer att installera en app avsedd att utnyttja sårbarheterna, något som är svårt så länge användaren bara begagnar sig av Googles Play-butik.

Med Googles öppna operativsystem Android kan telefontillverkare och operatörer addera eller modifiera kod, samt installera appar innan den nya telefonen når butik. Och när Kryptowire genomförde sina tester upptäckte de sårbarheter i form av buggar både i enheternas fasta program (firmware) och i förinstallerade appar.

– Problemet kommer inte att försvinna eftersom så många i leveranskedjan vill ha möjligheten att lägga till sina egna applikationer, skräddarsy och bidra med egen kod. Det ökar attackytan och ökar risken för fel i programvaran. De utsätter slutkonsumenten för risker som slutkonsumenten inte kan ta itu med på egen hand, säger Angelos Stavrou, vd för Kryptowire, till tidskriften Wired.

Innan Kryptowire gick ut med informationen publikt såg de till att varsko de berörda tillverkarna. Flera av dem svarar i Wireds artikel. Asus till exempel:

– Asus känner till farhågorna kring säkerheten i Zenfone och jobbar hårt och snabbt med att lösa det med en programvaruuppdatering.

Problemet, som Angelos Stavrou noterar, är att det förstås kräver att användaren laddar ned uppdateringen. Utöver det faktum att en sådan kan dröja.

– En sak som står klar är att ingen ser till kundens bästa. Det ligger så djupt inbäddat i systemet att konsumenten kanske inte kan upptäcka att det existerar. Och även om de känner till så kan de inte annat göra än att vänta på att tillverkaren eller operatören uppdaterar de fasta programmen, säger han till Wired.