Можете ли вы доверять своим новым телефонам и планшетам, или вредоносное ПО тайно устанавливается между заводом и магазином?
Распаковка нового смартфона должна стать одной из новых радостей техники. Снять целлофан, снять крышку с коробки и включить нетронутое устройство. Логотип загрузки вращается во всем своем красочном великолепии, пока телефон готовит свежую операционную систему
Но что, если все не так уж и чисто? Под этой яркой внешностью может скрываться что-то более зловещее. Как выяснилось, есть все больше доказательств того, что вы не можете доверять своему новому телефону Android
Цепочка поставок бытовой электроники
Современные производственные цепочки поставок сложны. В результате глобализации существует мировой рынок для всего – от сырья до готовой продукции, и потребительская электроника не является исключением. Одним из крупнейших производителей электроники является Китай, куда многие западные компании передают производство на аутсорсинг с тех пор, как его экономика начала расти в 1980-х годах
Китайцы также являются крупнейшим производителем кремния, жизненно важного материала для современной электроники. Эта страна отвечает за производство большинства бытовой электроники, используемой во всем мире. Только в 2017 году объем китайского импорта в США составил 189 млрд долларов. Такой феноменальный рост и доминирование на рынке привели к недавней торговой войне между США и Китаем, в результате которой обе страны ввели высокие тарифы на продукцию друг друга в течение 2018 года
Image Credit: omur12/DepositPhotos.
Хотя Китай контролирует большую часть производственной цепочки поставок, материалы и компоненты для сборки поставляются по всему миру. Именно по этой причине на вашем устройстве Apple iDevice выгравирована надпись ‘Designed in California. Собрано в Китае’ выгравировано на задней панели. В своем эссе 1958 года ‘Я, карандаш’ экономист Леонард Рид подробно описал сложный процесс, необходимый для производства одного карандаша, казалось бы, простого бросового товара
Разветвленная и сложная цепочка поставок электроники означает, что точная прослеживаемость является практически невыполнимой задачей
Производство смартфонов Android
Подход компании Apple, основанный на принципе ‘стена-сад’, означает, что они жестко контролируют производственный процесс. В прошлом компанию обвиняли в плохих и небезопасных условиях для сотрудников фабрики, однако они жестко контролируют этот процесс
То же самое нельзя сказать об устройствах Android
Google использует свободный подход к своей мобильной операционной системе. Поскольку Android имеет открытый исходный код, производители могут делать с ней все, что захотят, не платя ни копейки. Именно эта бизнес-модель способствовала продвижению Android в массы и его нынешнему доминированию на рынке
Однако у этого подхода есть и отрицательные стороны. Фрагментация, медленное обновление, а иногда и полное отсутствие обновлений, неотзывчивые или засыпанные спамом программы запуска – вот лишь некоторые из них. Каждый производитель и оператор связи имеет возможность индивидуально разрабатывать аппаратное и программное обеспечение каждого устройства. В результате сейчас на рынке представлено множество различных устройств Android
Поскольку большая часть производственного процесса осуществляется в Китае (именно поэтому покупка телефонов напрямую из Китая становится такой популярной), заводы часто собирают смартфоны для нескольких производителей. Они даже могут работать на одной и той же производственной линии, меняя только брендинг. Это привело к тому, что многие устройства совместно используют программное обеспечение, компоненты, а иногда и весь готовый продукт
Вы не можете доверять своему новому смартфону
Открытость Android способствует распространению вредоносных программ, чего не скажешь о тщательно продуманных устройствах Apple. Хотя за последние несколько лет Google предприняла шаги по повышению безопасности платформы, некачественная практика и запутанные цепочки поставок производителей открывают возможности для злоумышленников
Вредоносная программа RottenSys
В начале 2018 года служба Wi-Fi на Xiaomi Redmi привлекла внимание исследователей из Check Point Research (CPR). После некоторого расследования они обнаружили, что он вовсе не предоставлял услуги Wi-Fi. Вместо этого он запрашивал длинный список чувствительных разрешений Android, ни одно из которых не было связано с услугами Wi-Fi
Одним из наиболее значимых разрешений было DOWNLOAD_WITHOUT_NOTIFICATION. Приложение использовало это разрешение для загрузки вредоносного программного обеспечения с сервера Command & Control (C&C) после небольшой задержки при первом включении телефона. Вредоносная программа, известная как RottenSys, смогла скрыться от операционной системы, используя фреймворк с открытым исходным кодом под названием MarsDaemon для поддержания жизни своих процессов
Сервер C&C предоставил файлы для вредоносной рекламной сети, которая была тихо установлена на телефон ложной службой Wi-Fi. По оценкам CPR, злоумышленники могли заработать до 115 000 долларов за каждые десять дней работы. Исследователи также обнаружили доказательства того, что злоумышленники готовились к привлечению зараженных устройств в свою бот-сеть (что такое бот-сеть?)
Расследование, проведенное CPR, показало, что почти половина зараженных устройств находилась у оптового торговца электроникой Tian Pai. Хотя они не зашли так далеко, чтобы утверждать, что Tian Pai была причастна к этому, они пришли к выводу, что вредоносное ПО, вероятно, было установлено на каком-то этапе цепочки поставок
Вредоносная программа начала распространяться в сентябре 2016 года и к марту 2018 года заразила почти пять миллионов устройств по всему миру. К счастью, удаление RottenSys занимает всего несколько секунд – если вы знаете, где его искать. Если ваше новое устройство Android, похоже, заражено рекламным ПО, зайдите в настройки и удалите любое из приложений, перечисленных в отчете CPR. Как только вы удалите приложение, RottenSys исчезнет вместе с ним
Шанхайская технология AdUps
Наши смартфоны генерируют и хранят большое количество личной и конфиденциальной информации. Последнее, чего вы ожидаете от своего нового смартфона, это чтобы он собирал все эти данные и отправлял их на китайский сервер каждые 72 часа
Однако именно это обнаружили исследователи из охранной фирмы Kryptowire в 2016 году. Пораженная прошивка была замечена на нескольких устройствах Android, продаваемых в США, включая популярный BLU R1 HD. В результате обхода разрешений Android она получала неограниченный доступ ко всем вашим данным. Согласно отчету, к ним относятся:
‘.информация о пользователе и устройстве, включая полный текст текстовых сообщений, списки контактов, историю вызовов с полными телефонными номерами, уникальные идентификаторы устройства, включая международный идентификатор мобильного абонента (IMSI) и международный идентификатор мобильного оборудования (IMEI)’
Он также мог удаленно перепрограммировать устройства, устанавливать приложения и собирать данные о местоположении.Kryptowire отследил подозрительную активность китайской фирмы Shanghai AdUps Technology. Компания заявила, что сбор данных был ошибкой, а прошивка использовалась только для предоставления обновлений. Однако они работали с правительством США, Amazon, BLU и Google, чтобы удалить шпионское ПО
Год спустя исследователи обнаружили, что Shanghai AdUps все еще использует шпионские программы на устройствах Android. Большинство программ для перехвата данных были не удалены, а скрыты. Некоторые функции были отключены для американских устройств, но они все равно отправляли данные китайской фирме.Kryptowire отметила, что AdUps продолжает собирать список установленных приложений, номер телефона, идентификаторы устройств и информацию о сотовых вышках
Учитывая состояние отношений между США и Китаем, стоит отметить, что Kryptowire получает финансирование от Агентства передовых оборонных исследовательских проектов США (DARPA) и Министерства внутренней безопасности (DHS)
Делайте из этого, что хотите
Кому вы действительно можете доверять?
Большая часть вины за предустановленные вредоносные программы и встроенные недостатки безопасности лежит на Китае. Это правда, что политика управления крупнейшим в мире государством слежки может иногда проникать в их производственные отрасли. Однако установить авторство сложно, и даже в отчетах, в которых называются и позорятся ответственные стороны, обычно делается лишь предположение
Это не означает, что Китай должен быть полностью освобожден от ответственности. Недавние обвинения в адрес Huawei означают, что вам, вероятно, не стоит покупать их телефоны, если вы цените конфиденциальность. Это не первый раз, когда Huawei оказывается втянутой в скандал, связанный с безопасностью
Хотя нынешний поток вредоносных программ пока ограничивается устройствами на базе Android, это не значит, что так будет всегда. Даже под бдительным оком Apple риск появления вредоносного ПО скорее маловероятен, чем невозможен. Если вся эта неопределенность вызывает у вас желание вскинуть руки в знак поражения, то, возможно, пришло время подумать о том, чтобы отказаться от своего смартфона и купить вместо него ‘тупой’ телефон
Комментировать