Комментарии 371
Минцифры порекомендовало обращаться в Роспотребнадзор, перенеся проблему в плоскость продавец-покупатель.
На самом деле есть еще, пусть и небольшой, но шанс перевести эту проблему в плоскость уголовного производства. Небольшой - всего лишь из-за вероятного противодействия или бездействия соответствующих органов. Фактически идёт внедрение в ПО телефона шпионского функционала (и тогда "нарушение тайны связи") или ст. 272/273 УК РФ. Это особенно весело, если производитель (уполномоченная организация/импортёр) пойдут в отказ, мол, быть не может, наши телефоны самые телефонные и чисты, как слёзы ребёнка (вот, мы специально довели ребёнка до слёз и сравнили).
Я не вижу других вариантов, кроме как писать в ФСБ или Отдел «К». Но делать это нужно, имея веские основания и какое-никакое доказательство вредоносной активности, что сложно для обычного покупателя подобных устройств.
Насколько понимаю, DEXP и Irbis уже давно сняты с производства и уже почти не продаются (я купил почти последние устройства в июне), а новых супер-вредоносных моделей я не знаю. Тайну связи, в случае с F+ или BQ, наверное, применить не получится — она, вроде как, не нарушается.
Там, где не нарушается тайна связи, очень могут быть признаки ст. 272/273. Веские доказательства - это сам телефон, который можно предоставить следствию на исследование. Ну и, конечно же, придётся попинывать: запрашивать материалы проверки в порядке УПК РФ. Анализировать эти материалы. Обжаловать, если следствие уклонилось от исследования или совершения иных процессуальных действий, особенно, если они необходимы для разрешения заявления, с указанием этих действий. И так далее.
и Irbis уже давно сняты с производства и уже почти не продаются
Откуда такая информация? 'Злополучная модель', упомянутая в статье — в продажах.
и какое-никакое доказательство вредоносной активности,
Ждать пока кто-то купит ваши персональные данные (смс-номер, как упомянуто в статье) и будет в Tg рассылать какие-нибудь сообщения террористческой направленности с открытым номером в настройках мессенджера?
Здесь даже слово "жаль" не подходит к тому, как функционирует гос.ведомство. Вместо того чтобы проявить интерес и в конечном итоге (после изучения/подтверждения фактов и работой сообща с РКН/Потребнадзором), направить материалы к силовикам, приостановив 'преступную деятельность' на территории страны.
Правильно, что приобщили 'их' к своему расследованию. Еще СМИ подхватит, заслуживающий внимания, материал... Может начнут понимать что к чему теперь.
Ждать пока кто-то купит ваши персональные данные
Когда убьют - тогда и приходите (с). К сожалению, так со многими штуками, не только в этой отрасли.
Впрочем, если не будем теребить и не толкать Роскомнадзор/Роспотребнадзор/КтоЕщёУмеетВНадзор - фиг что поменяется. Эти конторы тоже об пользователей притираются.
Нескладушки получаются) В статье было заявлено "Были куплены почти случайные телефоны", потом были сделаны выводы - "4 из 5 телефонов содержат незадекларированную функциональность", а также даны рекомендации не жалейте своих денег покупайте Нокию, и вдруг в комментариях выясняется что, как минимум два из четырех злодея давно сняты с производства и чтобы их купить надо еще постараться. Моделей кнопочных телефонов тысячи и брендов десятки, но рекламная статейка запугивает обывателей, что есть только один чистый бренд, остальные серые лошадки. Подобная статистика отражает только желание ввести в заблуждение. Ни путей решения проблемы для покупателя, ни способов борьбы с продавцом. С тем же успехом можно проводить опрос - хорошо ли живётся россиянам, сидя в буфете госдумы
Проблема кнопочных телефонов локальных брендов в том, что их часто выпускают одной-двумя партиями, а затем просто долго продают (год-два). Уверен, уже через год вы не сможете купить в магазине ни одну из моделей, упомянутых в статье, хотя тот же Flip 3 появился в продаже сравнительно недавно.
Поэтому сложно дать какую-то другую рекомендацию, кроме как покупать устройство бренда с мировым именем, в надежде на лучшее.
Я сам не знаю, как правильно поступать в этой ситуации в правовом поле, для меня это не было главной задачей. Юрист (непрофильный) тоже не подсказал чего-то, что не упомянуто в статье. Если вы знаете, в какое ведомство нужно обращаться — напишите.
Вопрос, кому принадлежит нынешняя нокия и можно ли её считать "брендом с мировым именем".
Вроде как телефонный бренд Nokia принадлежит финской компании HMD Global.
Насчет бренда с мировым именем - вопрос открытый. С одной стороны Nokia - бренд с солидной историей и мировым именем. С другой стороны этот бренд омрачен пребыванием в лапах Microsoft, а HMD Global пока что не та самая Nokia (и в плане качества продукции тоже).
Где-то на яндекс.маркете мой отзыв с одной звездой лежит в том числе и по этому поводу (можете поискать, там у меня аватар такой же как и тут, ссылку же на коммент яндекс скопировать не даёт)
Именно слал (смс?) или опсос байты трафика округлял до 15 рублей? Если второе, то вина 99% на стороне оператора связи. Я такое воспроизводил почти на любом телефоне с 4G от сяоми, до Айфона. Как минимум на Теле2 и Билайне.
Не знаю злой умысел ли (перетащить людей на тарифы с абонентской платой) или просто раздолбайство (криво настроенный учёт трафика, который считает какие-то служебные 4G пакеты).
Вот выдержка из выписки (Tele2, выписка сохранилась под отзывом к телефону):
20.08.2018 21:26:08 Страйк Internet-трафик Трафик: 662 байт 662 00: 00 0,95 15,00
21.08.2018 23:52:07 Страйк Internet-трафик Трафик: 152 байт 152 00: 00 0,95 15,00
24.08.2018 23:53:00 Страйк Internet-трафик Трафик: 152 байт 152 00: 00 0,95 15,00
Там было больше, запрос был отправлен раз 7. Собственно я нашёл этот факт именно потому, что я пытался понять почему у меня стали испаряться деньги со счёта.
Ну вот такая фигня как раз от 4G. Можно было отделаться запретом 4G на телефоне.
В этой ветке полно таких репортов с оф. позицией "данная проблема возникает из-за особенностей вашей операционной системы.": http://tele2life.ru/forumweb/viewtopic.php?f=6&t=1096&p=130629#p130629
Коллега подсказал: купил папе Nokia 3310 и пришлось вообще отключить смс, так как тоже слала
рекламная статейка запугивает обывателей, что есть только один чистый бренд
Если эта статья — реклама, то автора нужно номинировать на каннского льва или хотя бы на Effie.
С таким маленьким ущербом наши органы шевелиться не будут.
а может подготовите типовое заявление в прокуратуру? я пока схожу телефон куплю и распаковывать не буду.
Этот «бабушкофон» шёл из магазина с «чистой», обновлённой прошивкой. В интернете для этой модели была найдена одна единственная версия "IRBIS_SF63_GC9106_CTC_V05_GSM_FM_20181010.pac", которая и была установлена на устройство. Она оказалась с бекдором.
То есть Вы зачем-то, где-то, скачали прошивку с бекдором, вопрос зачем? Если в магазине вам дали "чистый" телефон ?
Это первая версия прошивки, от 10 октября 2018. Я скачал и установил её для исследования и подтверждения вредоносной активности. Телефоны с этой прошивкой поставлялись в магазины — я связался с человеком из статьи на tjournal, он подтвердил, что не перепрошивал и ничего дополнительного не делал со своим телефоном, а купил его уже с бэкдором. Мой телефон из магазина шёл с обновлённой версией прошивки от 21 ноября 2019.
На всех других аппаратах прошивки не менялись.
Отзыв о телефоне в DNS от 23.11.2019:
Использует 2G трафик. Если в тарифе не предусмотрен пакет трафика, то счет за интернет будет неприятным сюрпризом. Служба поддержки Irbis на этот счет молчит.
Отзыв от 17.05.2019:
[…] Самостоятельно выходит в интернет. […]
В ФСБ уже написал. Ответили, что информация будет использоваться в оперативной работе - мда, хз, что бы это значило. Попросил добавить ещё домен, который вы нашли, в некоторые чёрные листы доменов.
Спасибо вам, что обнаружили и написали про это!!
Скорее, 272/273 возбудят на топикстартера за "несанкционированный доступ" к прошивкам телефонов. :) Это не шутка, прецеденты были.
И будут)
Нужно было остановиться на детализации, что сообщение ушло.
Или за имитатор базовой для перехвата. Лицензии на частоты же нет.
Мощность такого оборудования измеряется в милливатах, этого хватит максимум на реализацию "hot spot", чтобы телефон мог закемпиться на сектор. Никакой хоть сколько-нибудь ощутимой интерференции это не создаст.
И кстати OpenBTS и его форки это вполне себе полноценная базовая станция по 3GPP с одним сектором и одним передатчиком. На оффсайте можно посмотреть кейсы с примерами успешного коммерческого использования.
Есть ст. 1280 ГК РФ, в которой описаны кейсы, когда можно легально выполнять обратную разработку ПО. Кейс автора подтягивается под них.
Ментам это расскажите, которые такие дела возбуждают. И судьям, которые рассматривают.
Примеры дел есть? Фамилии, Имена, предьявленные обвинения, решения судов?
https://sudact.ru/regular/doc/N7U9CWqWChdS/
https://sudact.ru/regular/doc/EOr66JgzPBlR/
https://sudact.ru/regular/doc/N7U9CWqWChdS/
https://pravobez.ru/zakonodatelstvo/telefonnyy-spravochnik-ekaterinburga/resheniya-gorodskih-rayonnyh-sudov/Prigovor-suda-po-ch-2-st-272-UK-RF--256599.html
https://pravorub.ru/articles/48680.html
И так далее
Неубедительно. Чипирование и кряки это все таки пиратство.
И что? В данном случае 272/273 статьи вменяются именно за изменение прошивки устройства, выполненное его хозяином или по просьбе хозяина. Никакой разницы -- телефон или приставка, в данном случае нет. Были массовые дела именно за телефоны в середине двухтысячных: https://mobile-review.com/articles/2005/turma.shtml Но сейчас просто двигают этот процесс представители производителей прошивок, которые заинтересованы в "борьбе с пиратством".
А ещё когда ту статью писали, телефоны ещё были предметами сертификации вместе с прошивкой. Хоть один байт отличался от эталонного — телефон считался более несертифицированным — пользоваться запрещено.
"Обход DRM" -- это гражданский деликт, предусмотренный ст. 1299 ГК. С "доступом к информации" он не имеет ничего общего. Вообще, закон об информации и ГК4Ч регулируют разные правоотношения, которые друг с другом не пересекаются. Подмена "доступа к информации" на действия с произведением, охраняемым АП -- это, собственно, основа такой вот натяжки совы на глобус и фабрикации 272/273.
"Смена IMEI запрещена — аналогично" -- каким нормативным актом она запрещена?
"опенсорсных прошивок вообще не существовало — пираченная, стало быть" -- если прошивка "пираченная", претензии должен предъявлять правообладатель, а не дядя мент.
Для 146 нужно преодолеть порог ущерба. Раньше был 50 тысяч, теперь 100, если потом ещё не поднимали. Для 272 же — всё сходится. Информация — да. Компьютерная — да. Доступ — да. Неправомерный — да (обход DRM, пираченная прошивка, «рассертификация», когда это было ещё важно, и т.п.). А если поиск малвари — то на трёх входах этого элемента «И» — единицы, на четвёртом — нуль, так как 1280, и доступ правомерный. Антивирус на Android тоже гуляет по всей файловой системе, в т.ч. read-only областям. Если вредонос в прошивке, а рута нет — не исправит, но гаркнет всё равно. В кнопчном то же самое, но антивирус некуда ставить. Разница исключительно в том, что исследование происходит снаружи.
Но! Программа Miracle Box — ДСП. По замыслу разработчиков, она не должны была выйти за пределы телефоносборочного завода. А вышла, и доступ к ней — 272.
Это как обезвредить маньяка, догнав его на машине без номеров.
Сертификация -- это подтверждение соответствия определенным требованиям. Каким образом сертификация препятствует владельцу устройства изменить его прошивку? Ну, получит он "несертифицированный" телефон, но "неправомерный доступ" откуда тут возьмется? Любой доступ, совершаемый обладателем информации, который, к тому же, еще и оператор ИС -- правомерный по определению.
"обход DRM, пираченная прошивка" -- это все запрещено ГК. И не образует "неправомерного доступа". Доступ к информации и обход средств защиты авторских прав -- регулируются разными законами и по разным правилам. Закон об информации все-таки почитайте уже.
"Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Статья 1. Сфера действия настоящего Федерального закона
...
2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации, за исключением случаев, предусмотренных настоящим Федеральным законом."
ГК:
"Статья 1259. Объекты авторских прав
...
6. Не являются объектами авторских прав:
...
4) сообщения о событиях и фактах, имеющие исключительно информационный характер (сообщения о новостях дня, программы телепередач, расписания движения транспортных средств и тому подобное)."
Итого: правомерность доступа к информации не может "определяться ГК", у них сферы регулирования разделены.
"нарушение тайны связи"
По здравому смыслу (не знаю как по юридическому) - это когда ВАШИ сообщения (СМСки, разговоры и т.д.) читают и передают на сторону.
В данном же случае телефон от вашего лица (вашего номера) творит отсебятину. НО, ваши разговоры он никуда не передаёт. Тут, в западной терминологии, наверное можно найти identity theft (в случае с "бабушкой Шурой"), но никакого "нарушения тайны" пока не видно.
Кроме того, а много ли прецедентов, когда за "нарушение тайны" реально преследовали? Ведь интерес в таких прецедентах у правоохранителей отрицательный: им СОРМ и Deep Inspection с Великим Фаерволлом нужнее.
По здравому смыслу (не знаю как по юридическому) — это когда ВАШИ сообщения (СМСки, разговоры и т.д.) читают и передают на сторону.Так там же и была пересылка входящих СМС. Для регистрации в мессенджерах, етц.
Интересный аргумент, в самом деле.
Скользкий вопрос, впрочем, можно ли это считать ВАШИМ сообщением, если оно приходит для меня и по моему запросу, хотя я и использую для своих целей ваш адрес?
Вот представим себе дропшипперов, которые предоставляют локальный адрес, чтобы из локальных магазинов привозили товары с доставкой, перед их пересылкой "через море". Они же не приобретают права на сами посылки при этом. Теперь представьте, что я как-то вас надурил, и вашим домом пользуюсь как своим складом, бесплатно и без вашего ведома. Даёт ли моё преступление вам право потрошить мои посылки?..
Вот представим себе дропшипперов, которые предоставляют локальный адрес, чтобы из локальных магазинов привозили товары с доставкой, перед их пересылкой «через море». Они же не приобретают права на сами посылки при этом.Вообще-то, приобретают. Юридически это либо вы купили им, либо они купили по вашей просьбе. Просто по вашему договору они переуступают права вам. И права их на эти посылки при это ограничиваются только вот этим самым договором между вами и ими. Если вы закажете посылку на посторонний почтовый ящик, то посылка будет принадлежать его владельцу без каких-либо ограничений вообще.
Скользкий вопрос, впрочем, можно ли это считать ВАШИМ сообщением, если оно приходит для меня и по моему запросу, хотя я и использую для своих целей ваш адрес?
Будет очень весело. После доказательства в уголовном суде, что никакого нарушения тайны связи не было, потому что сообщение предназначалось не держателю SIM-карты, а обвиняемому, уголовное дело по ст. "Нарушение тайны связи" закрывается... и открывается новое по ст. 273 УК РФ, возможно, в соединении со ст. 272 УК РФ. Причем, материалы предыдущего уголовного дела будут иметь преюдициальную силу, поскольку факты установлены судом (более того, на таковой трактовке фактов настаивал сам привлекаемый по новому УД), решение которого вступило в законную силу.
а разве до того статьи 272/273 уже не было?
использование спец-программ, чтобы читать ваши СМС и при этом не давать вам про них узнать - это разве не подпадает под "блокирование" из 273
в общем, хуже уже не будет, но хоть "тайну связи" срезать :-)
Дело в том, что в описанном сценарии, чтобы "отменить" тайну связи, надо фактически сделать явку с повинной, причём, прямо в судебном заседании. Иными словами:
138 и/или 272 и/или 273 и всё это следствию и гособвинителю надо еще доказать (понимаю, что с этим даже при отсутствии фактуры иногда проблем никаких нет)
отменить 138 через признание 272 и/или 273, и следствию/гособвинителю уже ничего доказывать не надо, более того, никакой сделки с правосудием или аналогичного принципа из УПК тут даже близко нет, это даже не считается сотрудничеством со следствием
В общем, какой-то Эскобар, на мой взгляд.
Очередная отличная статья!
Похоже, что адок дешёвых звонилок - поле воистину непаханное, и братья-китайцы уже давно нашли способы монетизировать бабушек с этими звонилками.
Подозреваю что в дешёвых китайских телефонах на Android можно найти такой же функционал - только прошивки эти расковыривать одновременно проще и сложнее. Проще потому что девайсы и софт более стандартные, сложнее потому что объём огромен.
Tecno, как и Itel входящий в холдинг Transsion, был замечен за распространением malware на смартфонах: https://www.bbc.com/news/technology-53903436
Устройства Tecno также продавались в российской рознице. Но вообще, вирусы на смартфонах — классика: https://habr.com/ru/post/418751/comments/#comment_18940873
Интересно, какова итоговая доля всей этой дряни во всяких "платная подписка подписалась сама".
Не умаляю заслуг операторов - само существование этих подписок в 2021 году ничем кроме способа "легального" отъёма денег у населения быть не может. Но скорее всего шума от бэкдоров и прочей дряни хватает чтобы спрятать в нём дичь с автоподписками.
Это называется "партнёрка".
Партнёр оператора, который владеет сервисом подпиской, получает от оператора долю за каждую подписку. А партнёр партнёра, в свою очередь, подпихивает эту подписку людям, и за это тоже имеет долю.
На то, какими методами в этой цепочке получаются подписки, глаза принято закрывать.
вот оно материальное доказательство
Нет у вас никаких доказательств.
Вы должны доказать, что платная подписка появилась в следствие "[телефон] Обращается к CnC в интернете и выполняет его команды"
При появлении такого дела или CnC сервер вообще будет погашен для России, или этот телефон будет внесён в чёрный список на нём.
Запрос на сервер "меня продали!" - да отправляет. Подписываться - не подписывается. Нет такого в прошивке, а CnC ушёл в несознанку.
Кстати, а почем бы и нет? Коррупцию никто не отменял, а "обычный участковый, тысячи их" такую экспертизу сам не сделает.
Но - до того, как дело дойдёт до суда, полиция должна будет связаться с магазином, представителем производителя и с оператором тоже. Предполагая, что любой из них может быть "в партнёрке", то до поступления дела в суд - утечка будет. А в суде скажут, что менты доказательства подделали.
В хорошем суде - да.
А в плохом - доказательства вообще не нужны и предмета разговора нет.
Это не важно. Если для вас хороший суд - это "нет оснований не доверять сотруднику милиции" - пусть так. Результат-то сходный будет: объективных доказательств злонамеренности телефона нет, потому что они просто никому не нужны, а нужны официальные показания милиционера под присягой, что "оно правда так, сам видел".
это уже обратный солипсизм какой-то, что я вас выдумал.
я всё же пока буду надеяться, что:
вы всё же существуете объективно
в хороших судах требуются объективные доказательства, а не только
мнениясвидетельские показания полицейских
— В хороших судах — тех, которые аллегорически олицетворяет тетка с весами и повязкой на глазах — объективным будет считаться пласт доказательств, собранных в ходе ОРД, а необъективным — устное заявление обвиняемого: вывсеврети!
доказательств, собранных в ходе ОРД
Довольно размытая формулировка. Понятно, если "в ходе ОРД" взяли телефон и положили в сейф - его можно в суде предъявить. Если удалось забрать сервер и положить в сейф - еще лучше. Но на это надежды мало.
Остаются по сути свидетельские показания. Я своей честью полицейского/нотариуса клянусь, что когда вон тот очкастый хакер нажимал кнопки, ой отправлял запрос на сервер, на экран выползало, ой, сервер возвращал....
После чего истец запрашивает экспертизу и экспертиза показывает, что ничего на самом деле сервер не возвращает.
А НОНД и внутренние убеждения судьи - уже не работают?
Товары с Али. Там даже и в телефоны\планшеты мировых брендов могут имплантировать нежелательное ПО нечистые на руку продаваны.
Сам удивлялся - а чего это у меня планшет через месяц после покупки наставил разного китайского ПО? После очередного сброса через месяц снова зоопарк. Вылечил прошивкой с 4pda, но это модель была популярная. Как быть с дешевым лютым китаем - неизвестно.
Полагаю, такое может быть и не только с Андроидом. Любая популярная платформа домашней электроники, камеры например давно уже таковые попадаются. Зачем искать в Сети IoT устройства и заражать их, если можно просто продавать весь этот ботнет?
Вопрос решился только установкой альтернативной прошивкой, а потом телефоны были заброшены на полочку ввиду малого размера ОЗУ и флеш памяти.
Подозреваю что в дешёвых китайских телефонах на Android можно найти такой же функционал
О… Был (и есть) такой производитель третьего эшелона — Doogee. Так вот вирусня в их прошивках (там натурально в SystemUI сидел троян, а ещё несколько маскировались под OTA-сервис и что-то ещё) достигла таких размахов, что сама Google пообещала им проблем, если не прекратят. После чего ВНЕЗАПНО вышли прошивки без вирусов.
Масштаб можно оценить, посмотрев спойлеры «Инструкции» и «Разное» в этом топике. Чтобы получить «чистую» прошивку, приходилось шить аж 4 разных патча, поскольку говнецо добавлялось и мигрировало из приложения в приложение с каждой новой версией прошивки.
Ну и Xiaomi. Количество данных, которые они сливают себе, зашкаливает.
На сколько я знаю, в РФЯЦ ВНИИЭФ и подобных организациях, есть тема с запретом смартфонов, разрешены только кнопочные "звонилки", секретность и все такое. Возможно, скоро эти звонилки научат в тихую записывать звук и отсылать куда надо.
Не только во ВНИИЭФ. В армии смартофоны запрещены отдельным указом президента. Вот и получается, что тот человек, который разрабатывал этот указ (или приказ МО) сделал большую глупость. Раньше военный знал, что его смартфон лучше никуда не брать т.к. он может выполнять множество мультимедийных функций. Сейчас военный кнопочный телефон берет куда угодно не думая про подобные закладки в ПО телефона, ведь у него есть список разрешенных телефонов.
Для структур есть отдельная категория устройств - http://stcnet.ru/products_iid_17.htm
Но насколько там все хорошо с прошивкой - неизвестно.
Кому надо давно научили и сливают куда надо
Так там люди берут звонилки не из-за секретности, а просто потому, что какая разница, что лежит в ячейке, да по вечерам и выходным позвонить иногда, а те, кто правилам не следует, полноценные лопаты с собой носят, главное чтобы из кармана не выпирал.
Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности,
Как вы пришли к такому выводу?
У меня были подозрения на то, что бабушкин телефон лазает в Интернет (судя по детализации из ЛК оператора; прошивки не копал) и это была именно Nokia
Если Nokia добавит отправку СМС или бекдор в свои устройства, об этом станет известно гораздо быстрее, чем в случае в местечковыми брендами. Покупая устройство бренда, который известен на весь мир, вы с куда большей вероятностью получаете только заявленные функции.
Читал, что Nokia на KaiOS выходят в интернет (как и другие смартфоны, хоть и кнопочные), но они это делают для синхронизации времени и проверки обновлений ОС.
Небольшой вопрос, а вы в курсе что Nokia это теперь китайская фирма, одна из.
Относительно старенькая nokia 130 при первом включении после сброса отправляет сообщение для "активации устройства с приблизительным местоположением вашего устройства". О чём честно предупреждает, но зачем аппарат вообще это делает? Отменить похоже нельзя, в сообщении сказано, что эта информация может быть передана "авторизованным третьим лицам" в т.ч. "в другие страны согласно действующему законодательству".
Интересно, в интернете на русском есть только одно упоминание этого сообщения: https://forum.allnokia.ru/viewtopic.php?t=110507&start=360
Можете сбросить телефон и выбрать английский язык, чтобы посмотреть, как выглядит сообщение на английском?
Сообщение выглядит так:
"Thank you for choosing Nokia. By continuing, a device activation message with a one-time location of the device is sent to Nokia. Sms or data transmission charges may apply. Lern more about privacy in options." В опциях примерно тоже что и на русском о заботе о персональных данных, которые могут быть переданы авторизованным третьим лицам. В этом окне можно только продолжить, посмотреть уверения о заботе о персональных данных (в отдельном окне) или сделать звонок в службы ЧС. Отменить отправку нельзя, на красную кнопку не реагирует. Модель телефона RM-1035.
С Нокией (финской еще) были такие приколы еще на Симбиане, при первом включении отправлялась смс, а и да, еще и Nokia N9 на Миго так делала
https://allnokia.ru/faq/mobile/nokia-n9/
Как отменить подписку на рассылку Nokia (советы и предложения)?
Там это твикером можно было отключить (потому что после закрытия бизнеса отключение через настройки уже не работало), а на симбианах тоже рутануть прошивку и отключить, деталей уже не помню. Вроде как и аналитек всея руси (Муртазин) об этом писал в свое время.
т.е. это была смс на платный короткий номер. небольшой скандал был по этому поводу. но щас найти сложно подтверждения и описание.
Nokia N9 на Миго так делала
Вот не помню за ней такого. У меня было последовательно два таких аппарата. При первом включении ничего не отправлялось. Разве что такое самое первое включение выполнял продавец в порядке предпродажной подготовки.
Читал, что Nokia на KaiOS выходят в интернет (как и другие смартфоны, хоть и кнопочные), но они это делают для синхронизации времени и проверки обновлений ОС.
2720 Fold, прошивка 21.00.17.01. Каждые два часа лезет в интернет, проверка обновлений отключена сразу, для теста отключал вообще всё, что можно отключить — в том числе синхронизацию времени — время уползает, лезть в интернет не перестаёт. Если отключить интернет со стороны оператора, то но включить синхронизацию времени, то с временем всё Ok, без всякого интернета.
На предыдущей прошивке такого не было, от батареи телефон работал дольше. Жалею что обновился, откат не предусмотрен.
В личном кабинете нужно не искать запрет, а отключать услугу "Мобильный интернет".
Ещё можно позвонить оператору горячей линии и попросить отключить доступ в интернет.
Я делаю и то, и другое, на всякий случай.
Кстати. Имеется кнопочный телефон Nokia, который включается сам. Выключаешь его в кино перед сеансом, а тут тебе раз - и посреди сеанса звонят. Приходится совсем батарею вынимать.
Судя по детализации, ничего не отправляет, поэтому больше похоже на глюк прошивки.
Это, наверное, включение и выключение по таймеру — нередкая функция. Использую её на Inoi.
у Nokia и будильник в выключенном состоянии срабатывает
Именно так. Я любил делать выключение телефона на ночь и включение его поутру, чтобы никто не звонил (и батарейка экономилась).
Даже если включаться по расписанию не может, то смартфон можно в "самолётный режим" переключать.
Современный Андроид достаточно неплохо отстреливает батарейкопожирателей, а если какой-то из них очень нужен - то есть Island и прочие Working Profile
Включаться по будильнику умели еще самые бюджетные моторолы в 2004-м. Это не какая-то супер-фича смартфона :)
Проблема в том, что с приходом коммуникаторов/смартфонов эта функция почти перестала встречаться. А старые телефоны такое умели почти все, да.
Будильник из выключенного состояния — знакомая история: у меня на Siemens SK65 такое было.
Настроив таймер, я бы об этом знал.
Спасибо за статью. Буду скидывать тем, кто говорит "надоели ваши смартфоны, куплю кнопочную звонилку".
LineageOS обычно не контролирует ту часть, которая называется firmware. Так что оно будет побезопаснее только частично.
Дешёвые не-кнопочные не лучше. Покупая дешёвый Haier, вы автоматически соглашаетесь на предустановку троянов, которые потом никак не вычистишь.
За статью спасибо, не знал, что кнопочные тоже заранее затроянены.
И не дешёвые.
Если посмотреть на гитхабах-xda-4pda - можно найти кучу инструкций как с каких-нибудь флагманов выпиливать софт разной степени вредоносности.
Нет, дорогие телефоны обычно SMS не отправляют за вас, но вот стучаться на сервера статистики как минимум - вообще без проблем.
…а что с приёмом СМС?
Ни один из купленных телефонов не предоставляет полноценный AT-порт через USB или Bluetooth. Чтение SMS-сообщений с компьютера не реализовано нигде.
Если вас интересует прием СМС как можно дешевле, посмотрите в сторону GSM-модемов вроде A6, A7, SIM900. У них SPI-интерфейс, есть возможность отправки СМС, GPRS и даже звонки. На алиэкспрессе от 350 р. Правда, они новомодные 4G не поддерживают. Правда, я их не тестировал и гарантировать что-то не могу.
Ну и DNS, конечно, разочаровал. Вроде приличный магазин был.
Про SIM800, SIM900 знаю. Телефоны хотелось использовать именно по причине их доступности в обычных магазинах.
В итоге оказывается, что если их и можно для этого использовать, то только с кастомной прошивкой?
Да, причём дописывать свою функциональность придётся для каждой модели отдельно, прошивки чаще всего даже у похожих внешне/аппаратно моделей несовместимы. Это бесперспективная затея, учитывая, что телефоны выпускаются небольшими партиями и продаются не больше 2-2.5 лет.
Прямо хоть свой кнопочный телефон делай на основе sim800 + stm32 + экран.
Странно, что до сих пор никто не пытался. Я несколько лет назад хотел было начать, но потом решил, что не смогу сделать качественно корпус и железо (что бы долго работало и мало места в кармане занимало)
ну вот такое и НЕ хочется получить…
А хочется нормальный компактный кнопочный телефон и с минимумом функциональности и открытой прошивкой. Если кто соберется сделать железо, то я могу помочь с софтом.
уже есть опенфоны с опенсурс прошивками.. хз как это спасает от бэкдоров в симкарте, но уже лучше..
Нужен опенсорс телефон с ESIM, интересно, такое реально?
Тогда скорее всего трояна не будет
Пожалуй да. Надеюсь ктонибудь в итоге сделает компактную плату с гсм стэком и поддержкой есим, но там полагаю куча регуляторных проблем..
Про ESIM не знаю, а вот VoIP есть -- WiPhone. Правда реализация мне всё равно не нравится, как-то костыльно что ли
есть полтора телефона (pinephone и librem 5). Первый не доставляют в РФ, а второй уже четвертый год обещают сделать. Автономность у них меньше суток. Причем это больше компьютер с линуксом, чем телефон. opensource кнопочного телефона я не нашел (кроме концепта на ардуине в виде кучи плат и проводов с непонятной автономностью).
У меня требования к телефону такие: автономность от недели, удобное чтение sms, быстрый набор (возможность повесить несколько номеров на клавиши), календарь, диктофон и фотокамера. Без интернета и сторонних приложений.
От бекдоров в симкарте спасет только открытая прошивка модема, но тогда придется засунунуть внутрь limesdr и автомобильный аккумулятор. Но в случае бекдора в сим-карте понятно кому предъявлять претенизии, чем в случае noname телефона, который продает фирма-однодневка
Если через юзб, почему бы не взять просто USB-модем провайдерский и разлочить похожим боксом? Держу два таких, оба видятся как ttyUSBX, третий год полёт нормальный — главное сервисными командами запретить часть режимов, чтоб питания хватало точно.
Не напишете статью про нюансы и режим работы?
Да тут недавно кто-то уже описывал — у меня примерно такая же конструкция, разве что не на FreePBX и не на распберри https://habr.com/ru/post/550734
Но если софт свой городить, то и астериск не нужен — по сути модем висит, как и любой другой, на компорту.
А, ещё мне свой Е1550 приходилось разлочивать на голосовые звонки каким-то боксом как раз. Уже не вспомню, как назывался, помню, что разлочка голоса была что-то вроде 3 евро за 1 модем, при этом найденные на просторах АТ команды не помогали. Зато для отвязки от оператора помог как раз, емнип, написанный ОПом этой статьи генератор.
Мы в одном месте до сих пор используем старые телефоны nokia и ПО PC Suite.
10 лет полет нормальный
Этот приличный магазин продаёт откровенный китай, но под своим шильдиком и в пару раз дороже.
Всё так, но про дороже — не соглашусь.
Очень часто у них есть то же, что на Ali, по тем же ценам, но здесь и сейчас и с, внезапно!, гарантией.
Днс в массе не продаёт (и не продавал) что-либо "в пару раз дороже". Хотя локальные ситуации вполне возможны, и при колебаниях курса доллара тоже бывало (днс очень резв в поднятии цен, в то время как мелкие вендоры могут еще долго продавать по старым ценам).
Но в массе у них вполне нормальные цены и довольно низкая маржа (за которую вы получите вещь "здесь и сейчас" и с нормальной гарантией).
Более новые поддерживают. SIM7600, например, умеет 4G. А SIM7000 - аж Nb-IoT. Вдобавок, поддерживают MQTT (и даже MQTTS) из коробки - можно слать pub/sub любому MQTT брокеру, даже в AWS/Azure прямо через At-команды.
Стоят, правда, уже не 3 копейки.
Да.
Лет пять назад купил жене дешёвый BQ тысячи за четыре. С первого взгляда был обычный телефон, но уже через три дня начали появляться левые игры пачками, засирали все меню запуска. Удаляешь - через полчаса снова появляются, да ещё и с новыми.
Сначала просто игнорировали. Потом ещё через пару дней начала лезть полноэкранная реклама при запуске любого приложения, даже системного. Будильник? Смотри рекламу. Погода? Реклама. Итд.
В общем, пользоваться стало нереально, сдали назад в DNS и вернули деньги, купили сяоми в пару раз дороже. Хоть и минимальная модель, но такой херни там не было.
Кстати про сяоми: там тоже куча рекламы, в некоторых приложениях она уже отключается только на 30 дней! Через 30 дней операцию нужно повторять.
Мне не нравится современный подход к технике:
Купил смартфон — отключай рекламу!
Купил лицензию на винду — отключай рекламу…
Так это не подход к технике, это подход маркетологов к монетизации и к максимальному удешевлению любой электроники. Виток капитализма - электронику делаем дешевле, но отобьём своё за счет рекламы. В идеале - подписка. И теперь не только в железе, но и в ПО.
Я очень удивился, увидев во F+ Flip 3 игры по подписке. Их нельзя купить, их можно только арендовать на какое-то количество дней за платную СМС, но через один или два месяца их снова нужно будет оплачивать.
пот поэтому я и перестал брать сяоми. С 1+ таких проблем нет.
Т.е. это всё-таки не современный подход к технике, это проблемы отдельных производителей.
Да, я 7 лет назад писал статью о "чудесном" highscreen =)
Наконец раскрыта тайна, как новый номер телефона попадает в списки рассылки.
Нет, всё куда проще, номеров не так много и модно обзвонить все номера РФ за день
Пора переходить с номеров на UUID или публичные ключи аля Tox :)
Тут десять цифр некоторые запомнить не могут, а вы предлагаете перейти на UUID?
Кто-то десять цифр запомнить не может, а у кого-то в голове до сих пор J3QQ4-...
Ну так H7H2V приходилось набирать много и часто :-)
его ещё помню, а вот на w95, который раньше помнил не хуже, уже всё, стёрся из памяти.
w95 и офис 97 я всегда "активировал" датой рождения владельца + цифра, доводящая сумму всех цифр в серийнике до кратного 7. Например, если дата рождения 01.01.1921, то серийник будет 0101212 (это после префикса, который за давностью уже забыл, и попытки найти в интернетах повергли лишь в уныние, т.к. мне помнится что-то типа 40 или 040, а поиск выдаёт совершенно иные префиксы CD-Key)
Я помню только номера жены и детей. Ну, ещё родителей т.к. этим номерам уже 20 лет и забыть уже не могу) А, ну еще свою аську зачем-то.
Остальные то зачем помнить? Или речь про свой номер?
Что творится на более «умных» телефонах, остается только догадываться. Куда, скажем, отстукивается безродный (да и «родовитый») китайский смарт - о, там могут быть варианты, а, поскольку он «смарт» то он еще и может в разное время делать разные вещи, и обновлять свои умения!
Единственная разница — у смарта больше места, куда можно записать относительно незаметно любое гадкое ПО.
Со смартами проще. Поставил norootfirewall и всё попытки обратится обрубаются. Потом используя ADB гасим всех кто пытался действовать самостоятельно.
Приводил в порядок так телефон Fly маленький который использовал как точку доступа. После чистки стал работать в 4-е раза больше.
Спасибо! Уже казалось нет иллюзий в этом вопросе, а вам удалось сорвать покровы.
Прочитал статью и выпал в осадок — как такое вообще возможно — официально продавать телефоны с троянами и сливанием пользовательского счёта?
Особенно пикантно выглядит целевая аудитория — у бабушки без SDR и базовой станции не много шансов понять куда и как утекают деньги с её счёта.
А про доказать кому-то, что «бабушка» не сошла с ума, а это телефон САМ расходует средства — вообще речи не идёт.
Было такое дело с телефоном, модель которого даже не вспомню.
Он ходил в интернет, при этом в функциях этого не было и браузера в телефоне так же не было.
В итоге удалось в документации производителя раскопать, что телефон ходит в интернет для, внимание, синхронизации времени(!). Ни в каких характеристиках в интернет-магазинах про интернет не было ни слова (в том числе аббревиатур типа GPRS).
Пришлось через оператора запретить интернет вовсе, т.к. бабушке интернет ни в каком виде на кнопочной звонилке не был нужен.
в своё время, мне один красный оператор вернул деньги за "использованные" услуги. Возврат инициировали сами, но по заявке от меня с вопросом "что за фигня?". Причиной возврата денег обозначили типа "списание средств за услугу без технической возможности её предоставления".
МТС весёлые ребята, они и сами подписывают, и прячут из личного кабинета. Во всяком случае, делали так лет 5-10 назад. Купили тогда USB-модем, сразу вошли в личный кабинет, отключили все платные услуги. Месяц было хорошо, потом деньги "потекли". Куда потекли? Оказалось на услугу "Гудок", если помните такую. Замена у звонящих мне стандартного тона вызова на мелодии. Вот только НА МОДЕМ мне сроду никто не звонил. А поддержка МТС включила дурака -
- у вас подключена платная мелодия, сами так выбрали
- у меня в л/к указано отсутствие платных услуг
- правильно, у вас их и нет
- а деньги за что списываются
- за мелодию
- а мелодия откуда взялась
- настройка услуги "Гудок"
- значит мелодия - часть услуги "Гудок"
- да
- значит услуга "Гудок" платная. Почему л/к врет, что бесплатная.
- л/к правильно пишет, бесплатная
- если бесплатная - верните деньги, которые на эту услугу списали
- у вас выбрана платная мелодия, правильно списаны
И по такому кругу три дня. ПОТОМ вернули.
Офигеть. А разве сама по себе сеть GSM не умеет синхронизировать время?
По непонятной причине, время через GSM синхронизируется только на Inoi. На трубках под Spreadtrum и MTK только через интернет либо установкой вручную.
Был у меня телефон Lumia который на Windows, так в нем выбор был как синхронизировать время: по сети GSM или через интернет по ntp. Хорошо запомнил что в сети оператора с точностью времени бардак полный был, один раз ночью само на полтора часа назад ушло и будильник "проспал". Поэтому только через интернет.
Можно синхронизировать по сети GSM, но там кстати не всегда все ровно, у меня например час добавляет, видимо в сети время московское, постоянно отключаю эту функцию.
Вообще конечно неправильно синхронизировать все (дату/часы/минуты/секунды), надо синхронизировать только секунды (за сутки встроенный таймер не уйдет далеко), но почему-то до такой простой вещи ни у кого руки не доходят.
Я после поездки за границу с удивлением узнал, что у МГТС при подключении к сети телефон отправляет небольшой служебный пакет, который выглядит, как обычное интернет-соединение. Не знаю, что это было, но я так понял, что это какая-то особенность протокола. Только вот некоторые особо жадные забугорные операторы при этом радостно включают этот пакет в биллинг, как будто вы сами в интернет ходили, а МГТС не менее радостно списывает с вас оплату за использование интернета в роуминге, когда интернет на телефоне отключен. При этом, судя по биллингу, некоторые операторы за границей отлично понимают, что никакой это не интернет, и подобной глупостью не занимаются, но, увы, не все.
Изюминка тут в том, что в МГТС у вас кредитная система оплаты с лимитом, и как только за счёт таких списаний вы уходите за этот лимит, телефон вам отключают, и даже пополнение счёта не позволяет включить его обратно. Мне ещё повезло, дата выставления счёта была примерно сразу после возвращения на родину, но в интернете видел отзыв, как люди неделю сидели без телефона.
Столкнулся с обратной ситуацией — телефон старый, брендовый и на 100% проверенный и надёжный — при подключении к нему некоторых новых симок начинается НЕСАНКЦИОНИРОВАНННАЯ активность ТИХИЕ (СКРЫТЫЕ) звонки и СМС на платные номера опсоса.
При обращении в техподдержку опсос делает покерфейс и заявляет, что это я сам (дурак) и (видимо в порыве пароксизма) звонил на платные номера. Что конечно не так, как минимум по двум причинам:
1. Я вообще никуда не звонил (не брал в руки телефон) за тестовый период
2. Я не знал эти номера, поэтому физически не мог на них звонить и посылать СМС
Отсюда вопрос: что это было и могут ли симки жить своей жизнью и использовать телефон для несанкционированных звонков и рассылки СМС?
скажите название оператора?
Описываемый случай произошёл с Мегафоном. Они за 24 часа после покупки их симки слили со счёта 600 рублей на свои платные номера. Техподдержка заявила, что это я сам звонил на их платные номера и если меня что-то не устраивает, то я могу подать на них в суд.
На следующий день (официально) расторгнул договор и забыл о Мегафоне, как о страшном сне, но вопрос о несанкционированной активности симки остался открытым.
Поневоле вспоминается случай, как у чувака гаражные ворота сами подписались на несколько развлекательных рассылок. Тут и чисто хардовые Sim800/900 не спасут, наверное.
У меня нокиа 5110 на пожарной сигнализации трижды на различные рассылки "подписывалась". Окончательно "отписаться" помогло только письменное заявление в МТС.
Ну, у меня модем на Теле2 подписался на рассылки, было дело.
При этом, в отличии от Мегафона, деньги за подписки не вернули. Мегафон хотя бы возвращает эти деньги, Теле2 - свои правила, мы вам ничего не вернём.
Не совсем, на сколько я знаю, там по IMEI модемам подписку со специальным USSD-меню подсовывают, так как "механизм обновления прошивки" не умеет подтверждать второй USSD-код.
Не факт что в них не было закладки для этого =) Нужно реверсить прошивку.
Я ушёл с мегафона после трёх случаев подписки не понятно на что. В двух случаях, по их словам, это была "отправленная смс", в третьем — их приложение, якобы я в него зашёл и подписался. При этом минимум в одном случае (в других не помню) телефон в момент подписки просто был отключен, т.к. батарея сдохла, а о подписке я узнал из смс, которое пришло после включения телефона. У меня были (и остаются) некоторые подозрения, что проблема могла быть и в телефоне, но случай "подписки через приложение", скорее, говорит об обратном. Хотя за десять лет до этих случаев ни разу подобного не случалось.
я могу подать на них в суд
У меня и бабушку, и маму Билайн подписывал на всякие сервисы типа знакомств. Причем у бабушки, пока разобрались, пчеловоды наковыряли под 9 тыр за несколько лет. Поддержка, разумеется, впадала в режим "это вы сами, подавайте в суд, если хотите".
Нюанс в том, что они уверены, что подавать вы никуда не будете. Но бабушка у меня была кремень, она всю жизнь проработала архитектором в исполкоме и умела и в суд, и в канцелярит. Поэтому было написано заказное письмо с уведомлением, где в доступной форме описывались все дальнейшие действия (тот самый суд и прокуратура). Деньги вернули через пару дней после получения эпистолы, причем в том размере, который насчитали мы, а не сам Билайн.
у меня валяется старенькая нокиа в качестве звонилки, включаю раз в пару месяцев, так вот мне мегафон за то время что телефон был выключен сделал пару подписок, обнулил баланс, благо там всего было 200р и на вопрос как так то, сказал что возможно телефон кто то из родственников или знакомых включил...
Вообщем договор с ними разорвал.
МТС вариант с безмолвно лежащим телефоном решает проще, если вы не совершали платных действий (звонков/смс) в сети оператора в течении 3-х месяцев, то вас автоматом переводят на тариф с ежедневным списанием средств. Перед этим, вам прилетает смс с предупреждением, а там вы решайте сами «сделать звонок другу», или «гулять так гулять! плачу за всё!»
могут ли симки жить своей жизнью и использовать телефон для несанкционированных звонков
Да, могут. SIM-карта — это мини-компьютер со своей операционной системой и расширенными привилегиями, которая может обновляться сервисными СМС или через интернет. Она может сама инициировать отправку SMS-сообщений (что делает моя SIM Билайн, например, если определяет, что её вставили в другой телефон, не в тот, в котором она находилась в прошлый раз), совершать звонки (не уверен, что скрытые, но обычные — точно может), выходить в интернет (как просто инициировать открытие страниц на телефоне, так и обновлять свои апплеты через интернет).
Я находил в интернете жалобы на то, что SIM-карта отправляет СМС на свои сервисные бесплатные номера в роуминге, а в роуминге они принадлежат роуминговому оператору и тарифицируются отдельно:
https://cells.ru/forum/read.php?3,1535099,1535099#msg-1535099
https://zvonok.octo.net/number.aspx/0494
Также в картах встречаются уязвимости. Атака simjacker позволяет подделать сервисные СМС и отправить их самостоятельно: https://simjacker.com/
Про возможности карт рекомендую посмотреть видео от Funbox — компании, которая встраивает сервис СМС-подписок на кнопочные телефоны: https://www.youtube.com/watch?v=CumGQSX6_ws
Я обычно сразу удаляю приложение SIM-меню. Так себе защита, но хоть пуши перестает вываливать.
Спасибо за разъяснение, теперь понятно, что происходит, когда вставляешь симку от Мегафона в телефон.
Особый привет техподдержке Мегафона, которая пыталась убедить меня, что я сошёл с ума и сам позвонил (несколько раз!) по их платным номерам.
Только вот аккумулятор за годы лежания без эксплуатации скорее всего потребуется заменять на свежий - и он будет хуже оригинала.
видел как собирали аккумы из нескольких новеньких +-хороших из имеющихся в сц/магазинах побрендовее. это для планшетов/ноутов. т. е. у вас трабла будет только найти нужного размера банку. потом перепаять плату с старого на новый. м. быть та банка и чуть меньше или чуть толще окажется, не суть. главное чтобы влезло в корпус, крышка закрылась и тп.
Современные кнопочные телефоны стоят копейки против тех сотен долларов которые стоили телефоны времен 3310, нечего удивляться что их делают неизвестно кто задней ногой - лишь бы работали.
Ну в любом случае одни только эти гибридные сборки не стоят сотен баксов, тогда телефон был дорогой и долговременный продукт с соответствующей ценой и подходом. А сейчас клепают эти SoC'и на одну-две партии, поэтому никакой оптимизацией уже никто не занимается, тяп-ляп и в продакшн, надо уже следующую модель лепить.
И это при том что эти новые телефоны полноценные участники интернета - у них не бывает ни апдейтов ни альтернативных ос, а баги там наверняка есть, странно что их еще не эксплуатируют в хвост и гриву.
Уже поздно. Я пробовал попользоваться (в порядке прикола) Siemens C55. Аккумулятор на Юноне нашелся без проблем, но столкнулся с тем, что у операторов 2G уже слабеет, во многих местах на МТС и Меге кваки-бульки и даже непрозвон. При этом 3G и VoLTE - прекрасно.
В итоге мне глянулся Nokia 8110 4G, кнопочник с флипом, но на него можно поставить кастомную GerdaOS без (?) закладок и бэкдоров, и он обеспечивает прекрасное качество связи.
6 тысяч за звонилку... это перебор :(
внешне 8110 4G весьма на любителя.
gerdaOS не обновляется уже годами, к сожалению. крч. искать только android кнопочные с кастомными прошивками. даже 4xA55 +3Gb+ ram будут сильно лучше поделий на kaiOS, и тп.
или может быть некие самосборы на r. pi/orange pi/... их давненько не обновляли, а последний rpi на A73, вроде бы был. новый м. быть будет на A75. а это уже неплохо. и может быть стандартные говно экраны поменяются на что-ниб более приличное, в духе mi mix 2s/3 внешностью. ips стоит копейки же.
клаву хочется кверти. рамки минимальные.
если еще и будут подороже варианты с 12/16ГБ оперативки. то однозначно вин. т. к. 12ГБ+ это сегодня только в топ и дорогущихх девайсах. за десятки к. минимум 25-30. тогда кучу народа обратят...)
надо начинать с Айфонов, которые тоже сразу куда-то что-то отправляют. И отказаться вроде можно, но тогда Айфон превращается в бескнопочную звонилку
Не читайте до обеда советских газет (с)
Айфон отправляет один СМС для активации iMessage. Но, во первых, он об этом предупреждает, а во вторых - можно отказаться, и будет работать все, кроме iMessage.
на Айпаде все это регистрируется без всяких СМС
После того, как смс отправилось на айфоне :) либо только по e-mail, без привязки к номеру телефона.
iMessage тоже не требует, просто по номеру телефона работать не будет, если отказаться. FaceTime вроде оттуда же возьмет телефон, ибо зачем два раза смс отправлять
И в корне имеем обыкновенную жажду наживы. Капитализм, что ж делать...
Спасибо, что поделились.
Жаль, что с первоначальная затея не прошла
Речь, вроде бы, в основном о китайских разработчиках. У них же там коммунизм во все поля?
А точно прошивки делали в Китае, а не просто заливали на фабрике то, что им прислали? Половина из описанного - российские бренды, вроде сказано в посте.
<тег ХЗ>коммунизм в отдельно взятом Китае не отменяет капитализма в окружающем его мире. А как нам говорит народная мудрость - с волками жить, по-волчьи выть. То есть, ничем не гнушаются для сбора средств на R&D :)</тег ХЗ>
То есть это был коммунизм, но виноват всё-равно капитализм?
Таки заминусили XD
Коммунизм там ещё не построили, конечно. И большой вопрос, собираются ли. Прошу не придираться, иначе это уйдёт от темы поста, а я минусовать не могу, хотя и хочется.
Мне всё равно кто именно сделал такую прошивку, но она именно с целью наживы. Разве кроме тех, что отслеживают продажи. Но даже их следовало делать с уведомлением пользователя. А жажда наживы весьма характерна для капитализма. Надеюсь, с этим не будете спорить.
Ничего не ищется, приведите ссылку, пожалуйста.
Подобные звонки (GlobalStar и т.п.) были еще во времена, когда не было сотовых операторов. Тогда имел отношение в биллингу местного телекома, и подобные звонки со стационара многим жизнь попортило. Что их провоцировало - сейчас уже не вспомню.
Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности
Но ведь Nokia это теперь тоже дикий китайский подвал. По сути из настоящих брендов остались только Alcatel, Philips, Panasonic, и то они вымирают. Моделей очень мало. И отзывы тоже надо внимательно читать, есть неудачные модели.
Сходу я не нагуглил поэтому посчитал что нет. На самом деле действительно, и Philips, и Alcatel тоже давно китайские подвалы. Остается открытым вопрос о Panasonic.
Похоже что фирмовых кнопочников не осталось уже совсем.
Вот нашлась статья о продаже брендов в Китай: https://www.ferra.ru/review/mobile/most-popular-brands-bought-by-chinese.htm
мобильники Alcatel это уже давно китайский TCL
Насколько понимаю, Philips и Panasonic заказывают разработку ПО у сторонних производителей.
Современные кнопочные телефоны почти все сильно уступают хорошим трубкам 15-летней давности, если уж честно.
Вот по поводу Philips я думаю, что ПО под них максимум портировано со старых кнопочников, разработкой там и не пахло. Купил недавно хениум какой-то для звонков, так ПО один в один кирпичная железяка, которую мне в 97м подарили вместе с тарифом 26 центов за минуту. Однако в свете этой статьи начинаю думать, что может быть это и хорошо...
Samsung неплохие были, но в продаже их уже не видно...
Nokia это FIH. Там же делают и айфоны, в том же "подвале"))))
У Nokia есть и не "дикий китайский подвал", но получится ли заиметь такое для личного пользования, не знаю https://dac.nokia.com/user-equipment/
Единственный выход - через оператора блокировать возможность выхода в интернет, как минимум.
Что насчет смс и возможно ли точечно запретить их, не знаю. Технически, думаю, возможно (опять же через оператора) реализовать белый список номеров для отправки смс.
Насколько я понимаю, даже с закладками в телефоне это условно "решит" проблему.
У Мегафона блокировал интернет. Через какое-то время опять включили, без всякого уведомления.
Тогда оно через bluetooth построит mesh-сеть и всё-таки утащит ваши личные данные с телефона. Одними блокировками сложно всё решить.
Я правильно понимаю, что официально продаются устройства, которые можно использовать как ботнет? Одно дело, когда это единичная отправка СМС после установки, другое дело, когда телефон позволяет выполнять запросы, подчиняясь командам извне.
Спасибо за отличную статью!
А нельзя ли на это обратить внимание ФСБ, т.к. это теоретически можно подвести под "Специальные технические средства... устройства, специальный инструмент и программное обеспечение для электронных вычислительных машин и других электронных устройств ... которым намеренно приданы качества и свойства для обеспечения функции скрытного (тайного, неочевидного) получения информации либо доступа к ней (без ведома ее обладателя)"
Dexp это дополнительный бренд DNS.
Респект автору за исследование. Действительно, разбирать активность подобных устройств технически очень непросто, а простор для мошенничества с ними получается очень большим, поскольку пользуются ими в основном люди, не подкованные технически.
Официального ПО для Spreadtrum найти не удалось.
Есть SPD Flash Tool, даже с сорцами.
Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности
Кек) Помню был Nokia 5800, который при настройке после каждого хард-ресета отправлял СМС с информацией о активации в неизвестном направлении)
Отсутствие в России специализированного министерства, которое бы занималось подобными проблемами.
Тогда будет две проблемы.
Недавно ради любопытства вычищал от пакости кетайский смартфон. Пришлось выпилить абсолютно все включая звонилку и СМСилку. Т.е после этого телефон потерял возможность звонить! При этом сама система анlроид пытается куда-то ломиться. Правда, кол-во этого "левого" трафика стало пару сотен кб в месяц. System UI ломится на какой-то бла-бла-бла-amazon.com.cn
Впору уже в обзорах телефонов указывать такой вот функционал.
И — не понятно что собственно брать то если надо:
- нормальный телефон для звонков / смс
- не тормозящий
- без таких вот пакостей и возможностей их случайно добавить даже пройдя по ссылке
почему то в голову кроме старых iphone в голову ничего не идет (с софтом из аппстора там уже все плохо, но можно тупо не настраивать аккаунт, а даже если все же что-то найдется — откровенных троянов под не-рутованый айфон не бывает а при подозрении на рут — тупо залить прошивку.
Я помню как то из топовых Lenovo-в выковыривал закладку, которая могла приложения ставить не явно, и рекламу крутила в уведомлениях. Телефон покупался в Англии.
А можно где-нибудь скачать считанные прошивки ? Если с названиями/адресами распознанных функций (экспортнуть из ИДА'ы/гидры) - совсем прекрасно. Спасибо!
У меня есть кнопочный аппарат DEXP Larus C6 - внешне аналог Nokia 3310.
Кто-нибудь анализировал наличие в нём подобных функций?
Левых списаний денег с него я не регистрировал.
Безукоризненно круто. Спасибо.
Да, предотвратит отправку данных и снятие денег. А вот создание заведомо нерабочего APN вряд ли поможет — операторы связи игнорируют настройки, если введён несуществующий APN, и просто предоставляют обычный мобильный интернет, словно настроен правильный APN.
я будучи на мтс лет 6 назад через лк отключал смс сервис в принципе. но потом столкнулся с тем, что совсем без смс не легче, чем без инета. а включить самому в лк было невозможно, пришлось звонить на саппорт и доказывать, что я не удав (там вообще не могли понять, почему кому-то может понадобиться отключить смс сервис и что оказывается это можно отключить было самому). как сейчас там хз, давно на йоте. но было удобно в общем-то.
можно в телефоне поломать настройки отправки смс. Я когдато так себе поломал отправку смс, когда лазил по настройкам и включил опцию "отправлять через интернет". При звонке оператору мне сказали эту опцию отключить и вбить указанный ими номер смс-центра.
а ну кстати, если телефон серый (я любитель, ну не серых, но тех, что у нас не продают моделей), то с кривым апн инета может и не быть, пока не пропишешь правильный. по крайней мере у меня уже не первый американский винфон без прописки апн мобильного инета не получает никак.
Запрещал инет для филипс зениум E255, отправлял куда-то смс (промелькивало быстро и нигде не оставалось) и данные небольшими объёмами, а оператор радостно списывал деньги за пакет интернета. Аппаратов покупал два (т.к. красивые и удобные), оба "белые", куплены в разное время и в разных местах, оба ведут себя одинаково.
А ведь подобного рода аппараты лежат в карманах всех военных\силовиков, т.к. позиционируются командованием как "безопасные" в отличие от смартфонов... Наличие закладок в них уже тянет на совсем другую статью УК.
А как вы Wireshark подключили к кнопочному телефону и сняли GSM трафик?
У меня в Вадафоне тоже снимают деньги за выход в интернет, хотя эта симка в смартфоне отключена от интернета в настройках, только прием звонков (для инета другая симка).
Очень интересное исследование, спасибо! Пару лет назад знакомый жаловался на смс вирус в кнопочном телефоне, но что все так плохо я и предположить не мог. По spreadtrum, считать прошивку и распаковать *.pac можно с помощью ResearchDownload. Разобрать/собрать stone сжатый LZMA:
Или я чего-то не понимаю, или Китай — это просто другая планета, бесполезно даже размышлять над тем, зачем они влепили тот или другой бекдор туда или сюда.
ps. Заодно пока передумал продавать T28.
Как вариант - наладить взаимовыгодное сотрудничество с фейсбуком и подобными ему сайтами, где регистрация по телефону. Обмениваться с ними связками типа "IMEI-номер телефона". Чтобы когда пользователя в очередной раз по беспределу забанят ("ну а что, частная компания же, регистрация формально бесплатная, можем банить кого хотим и как хотим"), ему бы пришлось уже не только новую симку за 100-200 р покупать, а ещё и новую мобилу за 1000-2000. И за каждый бан часть денег от продажи новой мобилы нокла отдаёт фейсбуку.
а разве это не то с чем должен роскомнадзор воевать?
Исследование уже попало в коммерсант.
И mobile-review процитировали...
Добрый день.
От имени компании ДНС выражаем благодарность автору статьи за проведённые исследования и статью. На основании предоставленных данных нами проводится внутреннее расследование. По итогам анализа причин возвратов и отзывов на сайте, некоторые модели телефонов временно сняты с продажи для проверки наличия данной проблемы и её устранения при обнаружении.
Надеюсь увидеть результаты расследования в публичном пространстве, с информацией о выгодоприобретателе СМС-подписки, цепочке разработки ПО и поставки устройств, а также мер по недопущению подобной функциональности в будущем.
Обращайтесь, если нужны дополнительные подробности с моей стороны. Email есть в профиле.
Ну об этом уже давно было известно. Все наши производители телефонов, это просто наклейка на телефоне и на коробке. Все делают китайцы. Что они туда пихают только им известно. И да за основу там взята прошивка BQ Наши якобы производители не имеют в своем штате технических инженеров. Получили образец и вперед продавать.
Сами эти телефоны кстати ужасные в плане передачи звука. Если брать, то только если вы работаете на стройке, в хлеву и подобных местах. Чтобы не жалко было их грязными руками брать.
Вопрос к автору. Вы не хотите китайские GSM модули для ардуино проверить. Что они там творят. А то у многих умные ворота подписки делают сами по себе ...
Прекрасное и актуальное исследование! Спасибо.
Вот так подаришь родителям вроде безопасный телефон, а получается...
Я заметил только один момент - не факт что все телефоны проявили свои вредоносные возможности, вполне возможно у них может быть период выжидания - как раз от такого исследования, чтобы ничего не заподозрили.
Хорошая статья, только много чего не сходится.
По мне, больше преследовалась цель обгадить одни фирмы и вывести вверх другие.
Хотя не спорю, есть странные аппараты со странностями внутри.
Какие фирмы, по вашему мнению, я пытаюсь вывести вверх? У меня отпало желание пользоваться современными кнопочными телефонами: даже премиум-модели хуже стандартных устройств 15-летней давности по удобству и функциональности.
отличная статья с изобретательской новизной, такие на хабре несколько раз в году бывают.
"...содержат нежелательные недокументированные функции." (с)
"Результаты
4 из 5 телефонов содержат незадекларированную функциональность..." (с)
Если идет упор на незадекларированные функции, то как быть с тем, что в DEXP SD2810 прям в главном меню, никуда не прячась, находится раздел с платными подписками Funbox? И в инструкции даже об этом меню написано следующее: "Сервис представляет собой SMS подписку на различные тематические текстовые услуги. В SMS сообщении абоненту приходит текст по соответствующей тематике подписки. По умолчанию сервис отключён. "
???
Это документированная функция, которую можно вызвать из меню. Она отправляет СМС на другие номера, с другим текстом, пользователю выдаются стоимость подписки и действия для её отключения.
СМС-подписки присутствуют во всех телефонах, кроме бабушкофона Irbis'а. Еще в телефонах присутствуют платные игры, которые покупаются также через СМС.
ну по крайней мере автора указали, хотя по идее назвать источник им бы не помешало тоже (авторские права всё-таки...).
Товарищ майор, я знаю, вы читаете эти строки! Займитесь, пожалуйста, этим вопросом. Потому что бэкдоры в телефонах по всей России, выполняющие команды с серверов в Китае и с продающимися на арабских сайтах доступами - это, хотя и не сильно нарушает уголовный кодекс в каждом отдельном случае, всё же не очень соответствует стратегии национальной безопасности.
Автору - большое спасибо.
Потдверждаю, проблема существует, причём именно на НОКЛЕ (ладно, вот вам, nokia, чтобы поиском искалось, конкретная модель - 215 4G dual sim). Примерно раз в пару дней телефон самостоятельно выходит в интернет, несмотря на отключённую передачу данных везде в настройках. Особенно "весело" получается в роуминге: хочешь заплатить где-то через 3D-secure - заплати ещё пару сотен рублей опсосу (если телефон выключить, он, к счастью, в инет не лезет, но при включении, если последний раз включался "давно" - я не знаю, как точно измеряется "давно" - лезет сразу).
Хабрахабр — торт!
descr: Room 404
Символично.
И в ТАСС тоже есть читатели Хабра. Только им стыдно упоминать, что "один из пользователей...", поэтому они вытащили из коробки с нафталином целого Касперского.
Ни один из купленных телефонов не предоставляет полноценный AT-порт через USB или Bluetooth. Чтение SMS-сообщений с компьютера не реализовано нигде.
Если SDK доступны, то наверняка доступны и рекомендации по разводке платы и обвязки. Что если поискать там? Возможно, что на некоторых платформах до этой функциональности можно достучаться.
У меня лежит живой Fly, который не включая экрана делал звонки за границу по нескольким номерам. Каждый звонок длился по-моему 10-40 секунд. Назвонил он мне больше 3000 р (года три назад). Когда копался в проблеме, видел в сети сообщения, что в представительстве Fly прошивку людям меняли бесплатно )
https://www.dns-shop.ru/news/374ef223-0bc4-11ec-a2b1-00155dbd7634/
Днс начал отзывную кампанию
Полагаю, старый iPhone 5 или даже 4 - лучший бабушкофон. Яркий, лёгкий, ломается и рутуется легко, запчастей навалом (принес ремонтникам посмеяться iPhone 5 вздутый как батончик, внутри все погнуто и сломано - починили зачем-то, взяли 1200 руб. замена дисплея, новая батарейка +выгиб платы назад, даже запустилась, +рихтовка корпуса).
Самым безопасным из пяти протестированных телефонов оказался самый дешёвый.
А почему бы не организовать "Кноптест" по образцу "Ламптеста"? Разумеется, не только по этому показателю оценивать, но и по глючности, реальной ёмкости батареи, чувствительности, и др.
Никому это не надо, реальные потребители этих устройств на форумы почти не заглядывают.
Мне кажется, это ошибочный стереотип, что кнопочными телефонами пользуются только пенсионеры. Или вы думаете, что рост спроса на кнопочные телефоны - это резко выросло количество пенсионеров, а не резко выросли угрозы информационной безопасности и, соответственно, защиты от неё?
Так что я думаю, что этот возросший спрос на кнопочные телефоны вполне пересекается с аудиторией хабра и форумов. Другое дело, что они могут по аналогичным причинам мало писать, чтобы не подставляться лишний раз, но читать - почему нет?
Лампы это расходник, а мобильный телефон — капитальные вложения на несколько лет.
эээ, нет! Лампы - это тоже капитальное вложение на несколько лет. Мы ведь не о лампах накаливания, а о высокотехнологичных светодиодных лампах. И цена таких ламп иногда приближается к цене мобильных телефонов.
Поддерживаю, считаю, что кноптест нужен.
Подозреваю, что первое место займет "нокия фонарик" с новым аккумулятором.
Чтение SMS сообщений с компьютера было реализовано в SonyEricsson T68i . Была такая программка написанная если память не подводит Allan Odgaard, тем что потом написал TextMate. Nokia PC Suite вроде даже в CSV умел экспортировать SMSки.
Спасибо, отличный разбор. Вопрос от чайника: никакого файрволла для смартфонов в природе не существует? Если уж не с возможностью запрета, то хотя бы с логгингом и алармами.
Ну да , ну да, пошёл я нафиг... Пытался летом или весной посмотреть биллинг за месяц. так Билайн новую оферту предлагает принять. а по ней, тотальная слежка за пользователем... Не стал её принимать, сижу без распечаток теперь...
Очень интересное исследование, спасибо. Работаю приемщиком в ломбарде цифровой техники, полезная информация для моей работы.
Как пользовался Sony Ericsson Elm, так и дальше буду.
А пальцами в экран пусть тыкают обезьяны.
Подтверждаю наличие бекдора. Видел даже вживую, в салоне МегаФона (по франшизе). Бэкдор модели "Косякова", так было написано на бейджике.
Причём сработал даже без телефона.
Купил симку, "бэкдор" вставила её в какой-то кнопочный телефон, что-то там понажимала, на мой вопрос "Что вы делаете?" ответила "Активирую сим-карту". Придя домой увидел, что "бэкдор" активировал подписку на 50р в день.
ValdikSS, когда вы включили свою базовую станцию, то звонки и смс соседей пошли через вашу станцию? Получается с оборудованием за 650$ можно перехватить например смс-код от онлайн-банка? или это так не работает?
Его бс не включена в сеть оператора. Телефон либо благодаря сим-каре (можно и самому купить и "прошить"), либо тупо по самому сильному сигналу подключился. Обмен телефон-бс ему доступен. А вот обмен оператор-бс-телефон уже нет
когда вы включили свою базовую станцию, то звонки и смс соседей пошли через вашу станцию?
Нет, я ограничил возможность подключения только моей SIM-картой, для всех остальных аутентификация не проходила.
Получается с оборудованием за 650$ можно перехватить например смс-код от онлайн-банка?
Вообще — да, если базовая станция использует шифрование A5/1 (а таких, судя по информации gsmmap.org за 2019, у МТС около 50%), и даже дешевле — то же самое можно проделать на Motorola C118 за $30 с aliexpress.
Подтверждаю кейс с телефонами BQ. В декабре 2020-го купил детям-дошкольникам кнопочные телефоны «BQ One Power 1846» на Ситилинке. Про наличие у телефонов GPRS был в курсе. Через несколько месяцев, просматривая статистику расходов, заметил списания за инет-трафик. Сначала думал дети что-то натыкали (в телефонах есть встроенные Java-игры), но списания происходили даже тогда, когда дети не прикасались к телефонам. Заметил, что еcли телефоны включены целый день, они сами что-то шлют в инет 2 раза в сутки по 1-2 Кб, за что списывается 5 р/сутки (тариф без инета). Пришлось полностью отключить услуги GPRS, WAP, MMS. После прочтения данной статьи. Стал внимательно просматривать историю СМС на телефонах и в статистике оператора. Увидел много СМС на короткие номера 1042, 9800, 5557, 7497, 4446, хотя ни я ни дети (они еще даже не умеют) их не отравляли, да папка исходящих СМС на телефоне пустая. Несколько часов назад приходит СМС с номера 4446 «неудалось подключить услугу». В исходящих СМС естественно пусто, в статистике оператора эту СМС вижу. В инете нахожу (https://gsmwiki.ru/chto-za-nomer/4446/), что номер 4446 принадлежит не оператору а компании I-free (https://i-free.com/). Видимо прошивку для моих телефонов делала именно компания I-free )))
@Vitan1сообщает об отправке СМС на модели DIGMA LINX A102:
https://market.yandex.ru/product--telefon-digma-linx-a102-2g/1969392616/reviews
Монахов С.: В прошивке вирус, который рассылает платные СМС и выходит в интернет, даже если он отключен в настройках аппарата.
сам не верил, пока не убедился лично). Тестил с разными симками — реально сам отсылает СМС на предпрошитый номер.
Также на Philips E182, Philips E109 встречается прошивка с бекдором.
Чтобы убедиться в этом, наберите *#8375#. Если в "[BUILD TIME]" стоит 23 или 24 декабря 2019 года — прошивка с вирусом. Если май или июнь — чистая.
Spreadtrum firmware dumper for Linux (SC6531E/SC6531DA)
Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы