В завантажувач ОС Android від п'яти виробників процесорів для мобільних пристроїв виявлено уразливості, що порушують процес довіреної завантаження і ставлять під загрозу безпеку користувачів.

Проблеми були виявлені командою дослідників Каліфорнійського університету в ході вивчення апаратних загрузчиков Android. Ці компоненти привернули увагу дослідників, оскільки провести їх аналіз вкрай складно через відсутність звичних метаданих та закритого вихідного коду.

Метою дослідження було створення інструменту BootStomp для тестування і аналізу загрузчиков. З його допомогою вчені виявили сім вразливостей - шість раніше невідомих і одну відому (CVE-2014-9798). З шести нових вразливостей виробники підтвердили п'ять. Деякі з них дозволяють виконати код в процесі завантаження або викликати постійний відмова в обслуговуванні. Експлуатуючи ще дві уразливості, зловмисник з привілеями суперкористувача на ОС може розблокувати пристрій і порушити процес довіреної завантаження.

Уразливості зачіпають такі продукти:.

-Чіпсет Huawei / HiSilicon (використовується в пристроях Huawei P8 ALE-L23);.

-Чіпсет NVIDIA Tegra (використовується в пристроях Nexus 9);.

-Чіпсет MediaTek ((використовується в пристроях Sony Xperia XA);.

-Новий завантажувач Qualcomm LK; Старий завантажувач Qualcomm LK.

Довірена завантаження - завантаження операційних систем тільки з заздалегідь визначених постійних носіїв (наприклад, тільки з жорсткого диска) після успішного завершення спеціальних процедур: перевірки цілісності технічних і програмних засобів ПК (з використанням механізму покрокового контролю цілісності) і апаратної ідентифікації / аутентифікації користувача.