Comments 50
Это стандартная практика подвальных "брендов" дядюшки Ляо...
Толи еще будет. :0)
База для OEM подвальщины, Digma по опыту на контакт плохо идут...
Невероятно компетентный Источник в отрасли кибербезопасности наконец-то прочитал статью на хабре трехлетней давности?
Этим экспертом был @ValdikSS?
Да, речь о Digma A172, потихоньку исследую третий месяц.
Бэкдор хороший: когда с сервера приходит команда на отправку СМС (или когда получена входящая СМС при установленном фильтре), визуально нет никакой индикации о каком-либо событии, предусмотрели даже скрытие иконки выхода в интернет ("G" у силы сети).
Данные шифруются RC5 с динамическим ключом, для обмена используется BSON.
На первых этапах функции СМС используются для того, чтобы узнать номер владельца: одному телефону, номер которого уже известен, сервер устанавливает фильтр входящих сообщений, а второму даёт команду на отправку СМС на номер первого. Первый телефон пересылает номер и текст полученного СМС на сервер. В тексте содержится уникальный идентификатор, позволяющий связать номер телефона с другими известными идентификаторами телефона.
Впоследствии вредонос может использоваться для регистрации аккаунтов в мессенджерах и на сервисах, требующих подтверждения по СМС, но происходит это не сразу — активность телефона отслеживается по времени с момента его включена, количеству принятых СМС и другим параметрам, чтобы затруднить обнаружение бэкдора.
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС — женщина на том конце подтвердила, что получила от меня СМС «с какими-то цифрами» и уточнила, что ранее SIM стояла в кнопочном телефоне, а сейчас установлена в смартфон.
Digma только что, после статьи в Коммерсанте, закрыла тикет с формулировкой «Так, закрыли обсуждение». До этого они утверждали, что интернет используется для обновления доступности и цен сервиса подписок Funbox, несмотря на то, что в более свежей прошивке, на телефон с которой зарегистрировали WhatsApp, его нет.
У меня так пожилой отец купил на стоянке у супермаркета ноунейм китайский телефон(ага, с телевизором) у разводил три года назад, который после установки симки первым делом подписал его на кучу платных подписок, а потом еще ломился востанавливать пароль в сбербанк, втб и совкомбанк почему то. Хорошо, что батя никаких кабинетов ни где не имеет и ходит в банк ногами.
Так сильно телефон не маскировался и все смс оставались в принятых и отправленных. Операционка была какая то своя, косящая под айфон.
Потом этот телефон 2 года лежал на даче, пока его не украли зимой с другим стафом. Ну удачи им, тогда подумал я:)
>Так, закрыли обсуждение
Не удивительно, я так понимаю, они сейчас бегут-орут по всем новостным ресурсам, мол это всё враки, всё нормально, вирусов нет, только funbox, радо которого пользователи и покупают их телефоны
Скрин с CNews
В этом телефоне, как и во многих других, предустановлены платные сервисы (развлечения, игры), которые по желанию можно активировать за деньги. Вполне ожидаемо видеть логику, которая периодически будет запрашивать статус активации таких платных сервисов, состояние подписки и проч.
Единственный бэкдор в этом случае - только Sim Toolkit.
Вот это знатная консерва, аж 12 лет акку
12 лет молчал. Накипело значит.
12 лет молчал. Накипело значит.
раньше нормально было прост.
У родителей сын семь лет не разговаривал. Они и свыклись с мыслью, что ребёнок родился немым. И вот сидят они, обедают.
Вдруг сын ни с того ни с сего: — Суп пересолен.
Родители, поражённые: — Сынок, ты разговариваешь?! А раньше-то чего молчал?
— А раньше нормально было.
Спасибо за подробное разъяснение.
А как проверить наличие такой активности в других моделях? Только периодической сверкой с отчетами использоания тарифа от оператора?
Я могу найти следы именно этой закладки. Такая же была на Fly TS114 (Fly это старый бренд F+), четырехлетней давности и больше не продаётся. Но вариантов вредоносных закладок не один, и могут появляться новые. Пока нет подтверждения массового заражения всех телефонов Digma. Скорее всего это единичные модели. С другой стороны, есть вероятность встретить этот бэкдор у любого другого бренда кнопочных телефонов (почти любого, некоторые лучше тестируют телефоны перед продажей или имеют доступ к исходникам ОС).
Извините, а будет технический разбор бэкдора?
Данные вроде шифруются, но потом:
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС
История с женщиной - что-то вообще не понятное.
Извините, а будет технический разбор бэкдора?
В ближайшее время не планирую.
История с женщиной - что-то вообще не понятное.
Я изменил в прошивке домен бэкдора на свой собственный, а на сервере настроил проксирование данных на оригинальный домен. Это позволяет мне отслеживать все данные, передающиеся телефоном, при этом телефон продолжает выполнять все команды, отправляемые ему с оригинального сервера.
Когда сервер послал команду на отправку СМС и мой телефон её отправил, я позвонил по этому номеру и поговорил с владельцем.
Как-то даже не удивляет )
У них кстати есть абсолютно топовые по юзабилити под мои нужды mp3-плееры. Легкие, со всеми нужными функциями, простые в управлении и главное -- с клипсой и за 1.5к рублей. Купил сначала один, потом россыпь на будущее.
Ты берёшь "примитивную звонилку, без всего этого навороченного и уязвимого", а в реальности уже не умеют делать примитивные звонилки - в реальности берут новороченное, со всеми полагающимися проблемами, и имитируют простое.
Они и правда простые, 4МБ памяти на что хватит по современным меркам? Но на трояны хватает тем не менее. И на старых звонилках начала двухтысячных такое можно было реализовать, просто их производили известные компании, что следили за репутацией. А сейчас заказывают малоизвестные российские бренды у китайских ноунейм подрядчиков и никакого контроля над этим нет.
Мы на AT91SAM7X (с 256кБ Flash и 64кБ SRAM) делали платежный терминал, где были RTOS, TCP/IP стек, куча драйверов - дисплей, модем, термопринтер, RFID ридер, обновления по воздуху и еще куча всего.
А на похожем чипе где был DRAM и 4МБ памяти пытались даже запустить Linux. Не вышло, но не потому что он по памяти не влазил, а потому что у нас тогда еще опыта мало было. Сейчас бы запихали.
256кБ Flash и 64кБ SRAM
Целый Спектрум + куча игр ;)
О, так это известный довольно чип. У меня где-то была клавиатура от древнего банкомата на этом МК.
Если не секрет, что за терминал? Интересно посмотреть на проект этот.
Если не секрет, что за терминал? Интересно посмотреть на проект этот.
Это предания древней древности. Было это почти 20 лет назад. Та компания уже давно продала все свои наработки и закрылась. Может серверная часть, перелопаченная до неузнаваемости еще и трудится где-то в обработке платежей, но терминалы точно уже мертвы. Их можно было встретить в Украине, Грузии и Узбекистане.
Вообще, это был девайс в корпусе от переносного кассового аппарата (а потом и в кастомном корпусе), похожий на современные банковские терминалы и имеющий с ними много общего, особенно в плане криптографии и сетевых протоколов. Но занимался он продажей кодов пополнения мобильных телефонов, прямым пополнением счетов, однажды мы даже лотерейные билеты продавали.
Этакий аналог Qiwi? У них тоже была прошивка для POS для приёма платежей.
Да, похожее на Qiwi, только самобытное. Но не знал что у них была прошивка для POS, думал - только стационарные автоматы самообслуживания.
Впрочем, у нас кроме собственно терминалов была еще клиентская библиотека + физический USB ключ (это были времена когда Web-сервисы были не в моде, а к безопасности платежей относились серьезней). Эту библиотеку куда только не встраивали. Например, в какой-то момент большая часть банков Украины использовала наши сервисы. А наши клиенты из Грузии встроили эту библиотеку в свои терминалы самообслуживания и контролировали большую часть рынка, сильно опережая Qiwi. Эх, были же времена...
А сейчас заказывают малоизвестные российские бренды
Малоизвестный Ситилинк/Мерлион в данном случае.
появиться по вине вендора, который разрабатывает софт для телефонов
Правильное выражение: "китайского подрядчика". Который получает чистую ОС от вендора железа (Unisoc, бывший Spreadtrum) и дорабатывает под заказчика, попутно вставляя свои трояны или отправку платных СМС. И ничего с ними сделать нельзя, потому что "что ты мне сделаешь, я в другой стране", вряд ли они для китайских покупателей делают то же самое.
В прошивке F+ F256 каждый месяц тайно отправлялись СМС на платный номер 4446, и деньги шли на счёт конкретной компании в России. Которая обслуживает этот номер и делится деньгами уже с конкретными лицами, что зарегистрировали конкретный ID передаваемый в СМС (содержимое "ccor 75#nonet") и прописанный в прошивке. Но никто этим заниматься не хочет, сотовые операторы получают процент с этого мошенничества, им не выгодно с этим бороться. А для органов такие мелкие кражи не интересны, хотя наверняка ежедневно миллионы воруются со всех понемногу.
Не выгораживая операторов, хочу поинтересоваться: а разве есть со стороны оператора однозначный способ понять, кто отправил СМС - человек или вирус? А так да, у них, наверное, есть свой интерес в виде комиссии с платных СМС, но и у абонента, вроде бы тоже есть опция отключить всякие эти платные штуки. Или уже нет?
Можно отключить платные СМС, но уже после того как вас обкрадут и вы это заметите. Сколько остаётся стариков что не смогут разобраться, и у них так и будут утекать деньги, и все, в том числе поддержка оператора, думают что они что-то нажали на телефоне? Хотя операторы могли бы сопоставить жалобы на платные подписки и утекание денег со счёта. Что всегда фигурируют конкретные номера с конкретным текстом. Можно это заблокировать на стороне оператора. Но нет, они же проценты с этого получают, они не будут блокировать деятельность вредоносных закладок в прошивке.
Digma.
Напоминает бренды Suckma и Lickma
У меня был какой-то китайский планшет 7", купленный ещё на JD, когда он начал раскручиваться. Color-чего-то-там, забыл уже. Беленький такой, хороший, лёгкий. Фильмы, книги - всё на ура. Одна проблема. Через пару лет после покупки на него стали сами ставиться какие-то приложения, вплоть до каких-то порнушных совсем. Самое забавное, что это происходит даже после сброса на заводские установки. Сброс на фабричные, первое же подключение к интернету - и тут же начинается свистопляска. Я так понимаю, одна из зашитых в прошивку прог была специально сделана с бэкдором. Пару лет оставили на продажи планшета и его распространение - а потом бэкдор активизируется. В общем, я его к интернету просто не подключаю. Смотреть фильмы и читать книги отсутствие интернета не мешает. Но сам факт вот этого всего бесит.
P.S. Кажется, вспомнил модель: Colorfly G708.
Самое забавное, что это происходит даже после сброса на заводские установки.
Очищает "user" раздел, но не очищает "super", если вредонос успел получить рута (через какие-то уязвимости) и записаться туда - то сброс не поможет. Надо перепрошивать.
Говорят сейчас старые Windows при подключении к интернету заражаются через несколько минут.
Такое самое было на смартфоне Fly Life Compact 3G. Помогла только перепрошивка и перед подключением к интернету удаление всех програм сомнительного происхождения через adb. Оставил только сервисы Google и стандартные Android приложения. Если не ошибаюсь - оно через android update - "обновлялку" которую делает вендор загружало малварь всё это можно было смотреть через adb. Когда всё вычистил - пока как запасной работает.
Digma начала рассылать "опровержения":
После публикации материала в редакцию CNews поступил комментарий Digma. Он приведен без изменений.
«В кнопочных телефонах Digma отсутствует функционал, который можно классифицировать как backdoor или встроенную уязвимость. В прошивку встроен функционал от стороннего российского сервиса, целью которого является обмен SMS-сообщениями фиксированного формата для персонализации доступных развлекательных и информационных сервисов в конкретном регионе – гороскопы, погода, анекдоты и т.д. Обмен сообщениями такого типа является полностью бесплатным для пользователей. Подключение платных услуг ведется только с явного согласия пользователя. Любой иной функционал, включая якобы скрытую регистрацию пользователей в мессенджерах, в устройствах Digma отсутствует. Наши маркетинговые исследования показывают, что вышеуказанный развлекательный функционал является наиболее востребованным среди пользователей кнопочных телефонов, таким образом, основным нашим намерением встраивания данного функционала в прошивку является улучшение клиентского опыта. Изъятие телефонов из продажи мы не планируем, так как не видим оснований для этого. Мы запланируем внеочередное независимое тестирование наших устройств на предмет поиска уязвимостей в прошивке кнопочных телефонов у крупных независимых компаний и опубликуем результаты».
внеочередное независимое тестирование
А когда было последнее очередное? Или они раз в тысячу лет?
Кстати, покупал телефон Fontel FP200, это карманный бренд Мегафона. Там выдрали поганые Funbox и "смешок" (которые есть на телефонах многих других брендов), условно-зловредные приложения, рассчитанные чтобы дети или старики из любопытства или случайно в них заходили и подписывались на платный СМС мусор. Вот это действительно дело хорошее сделали, если так во всех моделях.
Но есть и за что пнуть Мегафон...
Правда в магазине Мегафона мало того, что повторили стандартную ложь про кнопочные телефоны в 32МБ памяти, где MБ - это мегабиты, то есть памяти там 4 мегабайта, так еще и умножили в тысячу раз, в магазине указано "Объем встроенной памяти: 32 ГБ", это абсолютная некомпетентность. На начале продаж этой ошибки не было. МегаФон, какого чёрта?!
Наши маркетинговые исследования показывают, что вышеуказанный развлекательный функционал является наиболее востребованным среди пользователей кнопочных телефонов, таким образом, основным нашим намерением встраивания данного функционала в прошивку является улучшение клиентского опыта.
Вот интересно: кто-то вообще этими информационно-развлекательными подписками пользовался? Ощущение, что даже на заре их существования к ним относились как к опустошающему баланс мусору, а статистика использования нагонялась навязыванием при покупке симки, случайно жмякнувшими пользователями и детьми, которые повелись на красивое описание.
Utel, их бабушкофоны не так давно тут видел статью, ну как, в пределах года. С виду кнопочник, а под капотом интересные вещи происходят.
Это совершенно не удивляет почему-то.
Не смог найти такую статью по поиску, если вспомните где видели и найдете - то укажите ссылку, с удовольствием почитаю.
Так вот же выше https://habr.com/ru/news/829214/#comment_27048262
Пользователи кнопочных телефонов самая незащищённая группа от мошенников.
Спасибо впервые узнал что на кнопочных телефонах внедряют вирусу бэкдоры, просто думал что не кому в наше время это не интересно.
«Ъ»: в устройствах российского бренда Digma обнаружили вредоносное ПО