Security Week 27: Поддельный айфон и цена безопасности

    19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы качественная, но старательная, начиная с коробки и заканчивая иконками. Сфотографированный в темноте, телефон и правда можно спутать с оригиналом.

    Естественно, когда начинаешь его использовать, все становится ясно. Телефон не очень быстр, из-под Apple-подобного интерфейса выскакивают сообщения о том, что «сервисы Google прекратили работу». Копия продвинутой системы распознавания лиц разблокирует смартфон от любого лица и похожего на лицо предмета, а скругленные края дисплея и площадка с сенсорами и динамиком эмулируются (!) программно. Журналисты Motherboard обратились к специалистам с просьбой оценить безопасность смартфона, и те нашли там, если переводить буквально, какую-то «дичь». Спойлер: никакой дичи там нет, просто много безответственного кода, показывающего, что в дешевом смартфоне данные пользователя тоже защищены на три копейки.


    Даже как-то оригинально сделано, с огоньком!

    Не буду пересказывать всю историю — почитайте в оригинале или просто посмотрите картинки. Дешевый смартфон хоть и пытается выглядеть, как брендовый аппарат за тысячу долларов, но остается стодолларовым девайсом. Работает, как выяснилось, на Android 6 с сильно модифицированным лончером. При первом запуске достоверно воспроизводит диалог первоначальной настройки, как на настоящем айфоне. Причем настройки, присутствующие в Android, честно меняются из этого меню. То, чего в Android не существует, вежливо, но молча игнорируется.

    Собран телефон на заклепках. Если вам не нравится, что в современных (настоящих, а не как тут) смартфонах все посажено на клей, то вот вариант похуже. Телефон просто одноразовый, разобрать его можно только кусачками, собрать не получится вообще. Почему? Так дешевле.


    Обещанные автором бэкдоры и вредоносные программы там как бы есть, но тут все зависит от интерпретации. Статья в части про безопасность немного теряет боевой задор, и можно предположить, что ничего ужасного в стодолларовой копии iPhone X не нашли. Смартфон был отдан на исследование специалистам компании Trail of Bits — посмотреть, что там с безопасностью. Исследователь Крис Эванс поделился своими находками в отчете, который показали журналистам, но публиковать не стали.

    А что нашли-то? Приложения типа «Компас» и «Часы» имеют слишком много полномочий (о ужас!). Поддельный браузер, мимикрирующий под Safari, имеет встроенную фичу удаленного запуска и выполнения кода. Это можно, не особо стесняясь, назвать бэкдором, хотя не факт, что он был вставлен с вредоносными намерениями. Просто такой кривой дебаг-интерфейс. В публикации цитируются слова специалиста, которые подтверждают именно такую версию: телефон не обязательно «вредоносный». Просто какая-либо «безопасность там отсутствует».

    И не то чтобы мы пытаемся встать на защиту поддельного айфона. Скорее наоборот, в тексте упоминается ПО для удаленного обновления телефона Adups, которое уже пару лет известно своим вольным обращением с пользовательскими данными, вплоть до отправки истории звонков в Китай (вот новость, вот исследование компании Kryptowire). Но отсутствие конкретики и попытка раздуть из мухи слона в оригинальной публикации Motherboard вызывает легкую… как бы поточнее выразиться… пожалуй, фрустрацию. Специалисты по безопасности «исходили из того, что устройство, скорее всего, небезопасно» и хранили его в сумке, изолирующей радиоизлучение. Ну да, да, без клетки Фарадея тут никак не обойтись.

    Недавно в блоге «Лаборатории» появился пост с неплохой подборкой примеров того, насколько дешевые смартфоны, даже если они не пытаются казаться айфонами, бывают небезопасными. У меня из всех этих историй есть два, надеюсь, в меру оригинальных вывода. Во-первых, чем дешевле телефон, тем хуже защита. Тем вероятнее используется OEM-прошивка, тем чаще она накатывается кривыми руками, тем скорее там забудут закрыть какой-нибудь дебаг-интерфейс, который шлет какие попало личные данные кому угодно.

    Во-вторых, у людей с минимальными познаниями в сфере информационной безопасности невероятно высокие требования к защите данных. Нас, если уж на то пошло, и флагманские телефоны, где все гораздо лучше, не всегда устраивают. Мы подсчитываем трояны в магазине Google Play, обсуждаем методы обхода защиты от копирования данных с айфона через USB-порт и другие разные тонкости. А у сотен тысяч недорогих телефонов речь идет даже не о взломе: доступ к чужим данным там, кажется, штатная функция. Какое-то «улучшение защиты» в случае с флагманским смартфоном обойдется в 5% его стоимости. Для дешевого телефона это будет подорожание в два раза.

    Жалко, что в публикации Motherboard не исследован подробно один момент. В процессе «настройки айфона» пользователю предлагают ввести логин и пароль от сервиса iCloud, который на андроиде, понятное дело, не работает. А что тогда с этими данными происходит? В лучшем случае они, как и другие специфичные для iPhone вещи, не сохраняются никуда. В худшем… Ну вы понимаете, что происходит.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 20

      +2
      Мы подсчитываем трояны в магазине Google Play, обсуждаем методы обхода защиты от копирования данных с айфона через USB-порт и другие разные тонкости. А у сотен тысяч недорогих телефонов речь идет даже не о взломе: доступ к чужим данным там, кажется, штатная функция.

      Да, только их пользователи не вводят эти данные чтобы пользоваться всякими придуманными эпплом способами авторизации, оплаты всего на свете и заказа прямо из интернета на порог дома.
      Звонит и звонит. Гугл-аккаунт на одноразовый адрес. Геолокация выключена. Вот и все личные данные.

      А у айфона, чтобы активировать девайс без кредитки приходится искать способ в интернете.
        0
        А у айфона, чтобы активировать девайс без кредитки приходится искать способ в интернете.

        Стесняюсь спросить, но вы хоть раз iPhone активировали? А настоящий?
          –1
          Стесняйтесь дальше.
          Как создать Apple ID на iPhone без кредитной карты

          Или вы новый никогда не активировали?
            0

            Так в новом же все шаги связанные с Apple ID можно пропустить. Там даже кнопки "не надо" не спрятаны, а непосредственно на экранах.

              –1
              Пару десятков раз. Причём без подсказок из сети.
                +3
                Если из статьи по вашей ссылке убрать воду и процесс создания Apple ID, то остается только фраза «На этом этапе в поле «Способ оплаты» обязательно выберите «Нет»».
                Просто выберите «нет» и можете не привязывать кредитку. В чем драма то? :)
              0
              Для оплаты всего и вся там совершенно другие механизмы, которые чуть ли не безопаснее обычных карт с чипом будут. Из-за наличия таких механизмов, мы тут регулярно читаем нытье ремонтников и кликбейтные статьи о том какой Apple плохой что не дает менять кнопку Touch ID в левых мастерских.
              Ну и с каких пор отсутсвие удобной функциональности стали считать плюсом?
              +4
              19 июля издание Motherboard опубликовало интересный лонгрид ...

              С первой же строчки — хипстота манерная. Лонгрид — это для кулгайз в свитшотах? Угу, угу…
                +1

                Окей, "выкатило интересную простыню текста" лучше?

                  +1
                  Еще хуже.
                  1. «Длинная простыня текста» по-русски называется "(большая) статья".
                  2. С фига ли автор решает за читателя, интересная статья или нет?
                    0
                    Статьи сейчас обычно маленькие пишут. Лонгрид — статья значительно больше, чем обычная. «Большая статья» — слишком канцеляритно.
                    Да и зачем в эпоху глобальной вычислительной сети персональных электронно-вычислительных машин громоздить русскоязычные словосочетания, всеми силами пытаясь не допустить в родной русский язык проникновения инородных терминов, пусть они и лаконичнее?
                      +3
                      Статьи сейчас обычно маленькие пишут.

                      Не путайте с твитами.

                      «Большая статья» — слишком канцеляритно.

                      От оно шо.
                      Вы, надеюсь, понимаете, что с таким «обоснованием» можно заменить все слова рашн лэнгвиджа на форин ворды? Чтоб не было «канцеляритно».

                      Да и зачем в эпоху глобальной вычислительной сети персональных электронно-вычислительных машин громоздить русскоязычные словосочетания, всеми силами пытаясь не допустить в родной русский язык проникновения инородных терминов, пусть они и лаконичнее?

                      «Статья» и «лонгрид» произносятся аболютно одинаково с точки зрения длительности слов. А из-за стяжения согласных «лонгрид» русскому человеку произнести даже чуть труднее, чем «статью». Так что рассуждения о лаконичности снова притянуты за уши, как и «канцеляритность» выше.

                      Теперь поясню, к чему я, собственно, прицепился.

                      Речь не об отказе от заимствований, а о заигрывании авторов сего перевода с хипстерской субкультурой. Я бы понял, если бы статья вышла на ресурсе longread.com, или хотя бы была названа «лонгридом» в оригинале. Но нет — в оригинале статья названа «обзором» (review), расположена в рубрике «статьи» (articles), и никаких отсылок к хипстоте, яичным скрэмблам и фруктовым смузи не имеет.
                      Вывод: авторы перевода решили позаигрывать с аудиторией. Влепили ыгрывый манабров, вставили кулвордс. Смотрится все это балаганно и убого.
                +1
                Ну так, кто преобретает подделки тем безопасность не важна, важны дешевые понты, а кому важна безопасность приобретают оригиналы. А некоторые, особо боязливые, вообще сидят на кнопочных.
                  +1

                  Хм, автор своеобразен. Мало того что лучше всех видит насквозь любой код и определяет его безопасность, он ещё и специалистов высмеивает. На самом деле, компас, имеющий доступ ко всему это серьезно. Можно удаленно включить микрофон, камеры, записать данные с экрана, читать смс и т.д. Впрочем для андроида это норма. Посмотрите на список разрешений мордакниги для андроид. И посмотрите в афоне.

                    0
                    Посмотрите на список разрешений мордакниги для андроид. И посмотрите в афоне.

                    открыл у себя на 8 андроиде — в разрешениях контакты, местоположение и память. как по мне то ничего особенного. а что на айфоне?
                    вот что удивило, так это то, что андроид пишет что приложение ФБ занимает 566 МБ. из которых размер приложения 185 МБ. ну совсем охренели
                      0

                      Не люблю враньё. Только что зашёл в google play store и посмотрел разрешения. Мало того что список огромный, так там включено все и логи звонков и микрофон и много всего другого. Или вы наивны до безобразия или намеренно вводите в заблуждение.
                      Проверьте сами https://play.google.com/store/apps/details?id=com.facebook.katana

                        0
                        Не люблю враньё
                        так и не надо врать — если не любите. чего вы мне рассказываете какие НА МОЕМ телефоне приложению права даны?
                        указанные разрашения у меня даны по умолчанию (можете верить а можете не верить, ваше право) — но я не использую всякие фишки ФБ типа трансляций — только что бы ленту листать да коменты оставлять, видимо поэтому у меня разрешения на микрофон и камеру не запрашивало. вполне логично что для всяких трансляций или еще чего подобного понадобится гораздо больше прав чем у меня дано приложению.
                        хз как раньше в андроидах было, а щаз я заметил что приложения по мере надобности права запрашивают (по другим приложениям замечал)
                        единственно что список разрешений что я вижу у себя на телефоне не такой детализированный как расписан по вашей ссылке, поэтому возможно что-то из разрешений дано о чем я не подозреваю
                        З.Ы. и вообще ничто не мешает забрать разрешения которые по вашему мнению не нужны приложению. (я сейчас использую Андроид 8.1, как оно на более раних андроидах — я не в курсе, возможно там не все так просто) оставил сейчас только разрешения на работу с памятью — листать ленту и писать коменты можно и отлично, большего мне от ФБ приложения не надо
                          0

                          Некоторые разрешения не требуют запроса. Попробуйте заберите ряд из перечисленных. А насчёт того что вы в вашем телефоне хозяин, забудьте. Многое проходит сере сервисы Гугл и там вы вообще сделать ничего не можете. А сервисы гугла имеют доступ ко всему. Зайдите в статистику батареи и посмотрите что больше всего ее кушает. Это будут сервисы гугла. И это не значит что все это только для гугла. Через API сведения получают другие программы. И да, даже выключив доступ к местоположению, не надейтесь что оно совсем выключено. Пора уже перестать верить в деда мороза

                            0
                            Попробуйте заберите ряд из перечисленных

                            легко — фейсбуку оставил только разрешение на управление памятью. и работает зараза

                            Многое проходит сере сервисы Гугл и там вы вообще сделать ничего не можете

                            я вот ждал когда начнется перевод стрелок с фейсбука на гугл. хотя изначально разговор был совсем не об этом
                            досвидос, тролячья морда
                    0

                    Во первых, без оскобленный. Во вторых, это факт. Если этот факт вам лично неизвестен, это ваши проблемы. Теперь по разрешениям фэйсбука, уверены что запретили все? Или только то что вам разрешено, якобы запретить?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое