Natuklasan ng mga mananaliksik sa seguridad ang isang napakalaking pag-atake sa supply chain na nakakaapekto sa milyun-milyong Android device, na medyo nakakabahala. Tina-target ng pag-atake ang iba't ibang smart device, kabilang ang mga budget smartphone, smartwatches, smart TV, atbp. Lumilitaw na ang problema ay nililikha ng matinding kumpetisyon sa mga original equipment manufacturer (OEM).
Sa kanilang pagsisiyasat, itinampok ng mga mananaliksik ang isyu sa isang kumperensya na ginanap sa Singapore. Natunton nila ang ugat ng problemang ito sa matinding kumpetisyon sa mga orihinal na tagagawa ng kagamitan (OEM).
Ang mga tagagawa ay hindi ang salarin
Kapansin-pansin, ang mga tagagawa ng smartphone ay hindi gumagawa ng lahat ng mga sangkap mismo. Ang isang mahalagang bahagi, ang firmware, ay madalas na nai-outsource sa mga third-party na supplier. Gayunpaman, dahil sa pagbaba ng mga presyo ng firmware ng mobile phone, nahirapan ang mga supplier na ito na pagkakitaan ang kanilang mga produkto.
Dahil dito, natuklasan ng mga mananaliksik na ang ilang mga imahe ng firmware ay may mga karagdagang, hindi gustong elemento na tinatawag na "silent plugins." Tinukoy nila ang "dosenang" mga imahe ng firmware na naglalaman ng nagbabantang software, o malware, at natukoy ang humigit-kumulang 80 iba't ibang plugin. Ang ilan sa mga plugin na ito ay bahagi ng isang mas malaking "modelo ng negosyo" at ibinenta sa mga forum ng Dark Web at na-advertise sa mga pangunahing platform ng social media at blog.
Maaaring ang mga nakakahamak na plugin ang ugat ng pag-atake
Ang mga plugin na natuklasan sa pag-atake ng supply chain na ito ay nagtataglay ng iba't ibang mga kakayahan na lubhang nagbabanta sa mga apektadong device. May kakayahan silang mangolekta ng sensitibong impormasyon, gaya ng personal na data, at makakuha ng hindi awtorisadong pag-access sa mga mensaheng SMS. Bukod pa rito, maaaring kontrolin ng mga nakakahamak na plugin na ito ang mga social media account, pagsamantalahan ang mga device para sa ad at click fraud, manipulahin ang trapiko sa Internet at marami pang iba. Ang hanay ng mga nakakapinsalang aktibidad na pinagana ng mga plugin na ito ay malawak.
Ang isang partikular na patungkol sa plugin na na-highlight ng mga mananaliksik ay nagbibigay sa mamimili ng kumpletong kontrol sa isang device nang hanggang limang minuto. Nangangahulugan ito na maaaring gamitin ng mga umaatake ang nakompromisong device bilang isang "exit node" upang isagawa ang kanilang mga aktibidad na nagbabanta.
Ang data na kanilang nakalap ay nagpapahiwatig na halos siyam na milyong device sa buong mundo ang naapektuhan ng pag-atake ng supply chain na ito. Ang karamihan ng mga apektadong device ay puro sa Southeast Asia at Eastern Europe. Habang ang mga mananaliksik ay hindi tahasang pinangalanan ang mga salarin sa likod ng pag-atake ng malware, ang mga pagtukoy sa China ay ginawa ng ilang beses, na humantong sa publikasyon na gumawa ng sarili nitong mga konklusyon.