Комментарии 150
Если товар дешевле, то получается достаточно перешить на стоковую прошивку, чтобы получить профит? Если так, то это просто праздник щедрости какой-то!
Не факт что такая перепрошивка поможет избавиться от вирусов.
Если я перешиваю рекавери, а потом из него делаю вайп остальных разделов и заливаю туда условно чистую прошивку - неужели там что-то может сохраниться зловредное?
А как насчёт hardware backdoor?
Да. Большая часть разделов теперь недоступна в recovery.
Например, раздел vendor и прочие. А уж если речь идет о производителе, то на телефоне кроме CPU есть ещё куча независимых процессоров помельче, которые исполняют вообще свои закрытые бинарные прошивки, например, модем.
В общем, кошмар параноика.
Прошивка от производителя может быть с вирусами. Был у меня такой смартфон. Куплен был в салоне оператора связи.
Ну этим грешат в основном таки днищебренды типа Tecno, ODM-бренд Tinno (выпускает хлам под марками Inoi, Explay, BlackView, BQ и еще кучей других шильдиков) и т. п.
Сколько знакомых пользовались телефонами BlackView и ни от кого нареканий не слышал. Свой я проверял антивирусами и тоже всё чисто.
В актуальных моделях может и нет , но еще лет 5-7 назад всякие там отправлялки SMS (в частности, на всякие мутные китайские номера) в подобных девайсах, продаваемых по самому низу рынка, встречались густо и часто.
Alcatel, купленный 9 лет назад, был с вирусами, ZTE, купленный летом 2019 не хотел удалять приложение Google, которое я на всех телефонах сношу первым, к BlackView, купленному 4 года назад, претензий не имею. Хотя пора его менять: и ОС устарела, и с кнопками проблемы вылезают. Правда, последний смартфон не сказать, что "по самому низу рынка" - всё-таки защищённый аппарат. И следующий будет таким же: оказалось, что герметичность важнее запуска игрушек, в которые я всё равно не играю.
А куда вирус то записали тогда? В микрокод чтоль? Это ж воры а не ЦРУ
Это вы можете так сделать, аудитория хабра как минимум понимает о чем речь. Но я почему-то подозреваю что те, кто покупают подделки под самсунг с громким названием "S23-24 super-puper ultra" даже не поймут о чем речь... (
А что именно им мешает понять или разобраться в вопросе? Есть подозрение, что они сами, их невнимательность и наплевательское отношение, любовь к халяве и глупость.
А что именно им мешает понять или разобраться в вопросе?
Концепция разделения труда. Человек не может и не должен разбираться во всех вопросах, поэтому сосредотачивается на своей предметной области. А защитой от жуликов должно заниматься государство. Ему сейчас не до этого, оно квадроберов гоняет, но это ненормальная ситуация.
Человек не может и не должен разбираться во всех вопросах
Не должен конечно. Но ему же надо. И для себя.
Например, если человек не умеет читать, и не понял табличку об опасности проведения работ в ходе которых открыт канализационный люк, прошароглазил сам люк и переступил через ограждение, то почему кто-то за него должен быть виноватым в его падении в этот люк?
проведения работ в ходе которых открыт канализационный люк
Вы несколько перепутали преступный умысел с недостаточной осторожностью.
ну почему же, в данном примере читать человеку важно для собственной безопасности, а читать - это навык, который он может приобрести или отказаться от его приобретения и испытывать неудобства
Потому что если человек не умеет читать - то он юридически или фактически недееспособный: либо это ребенок, либо взрослый с отклонениями развития. Соответственно, он не может приобрести навык либо в силу возраста, либо в силу развития. И организатор работ с открытым люком обязан обеспечить безопасность. И если через ограждение можно переступить, то безопасность явно была недостаточной.
В случае же мошенничества вы занимаетесь чистым виктимблеймингом. В преступлении виноват преступник, а не жертва.
В таком случае зачем закрывать двери на замки и пользоваться ключами и паролями? Жулик не воруй? Или всё-таки жертва может и должна позаботиться о себе?
В таком случае зачем закрывать двери на замки и пользоваться ключами и паролями?
А если мне домушник замок взломал за 15 секунд и обнес хату - вы тоже скажете, что я должен был разбираться в замках, и брать сертифицированный израильский "умный" замок, с распознаванием свой-чужой?)
Тут с недели на неделю новость видел, про type-c кабель, внутри которого руткит сидит - вот вы покупаете только сертифицированные type-c кабели, например от Apple за 3999?)
Странный вопрос, учитывая что мой ответ был на на тезис "в преступлении виноват преступник, а не жертва". Вы сколько угодно можете надеяться на то что мошенники вдруг перестанут мошенничать и действовать незаконно. Но головой то думать всё же надо.
Ви так говорите, будто сертификация означает, что личный спецпредставитель Apple везёт сертифицированный кабель до Ваших дверей, держа его чистыми руками у горячего сердца.
Ну вот Вы легко разберётесь с вирусами и хакерами в силу своих професиональных навыков, но когда Вас кинут на хитро составленном договоре - так же пойдёте жаловаться на несправедливость. Не может человек быть компетентен во всём.
Я не утверждаю что человек должен быть компетентен во всём. Я утверждаю что надо подумать, прежде чем сделать. В случае с договором, никто не мешает мне понять, что я в этом не особо разбираюсь и нанять другого умного юриста. А с телефоном - попросить более разбирающегося знакомого одобрить или отговорить от этой покупки. А если нет таких, не надеяться на авось и пойти купить с переплатой, но в официальном магазине с гарантией.
предположу что вы так рассуждаете т.к. у вас есть возможность подумать и выбрать оптимальное решение для вас.
А есть люди которые попадали так как не смогли отстраниться от ситуации и начали принимать решение здесь и сейчас и потому оказались под влиянием.
тренировать в себе критическое мышление можно, но ко всему не подготовиться, плюс если зайдут под защиту через человека которому вы доверяете.
Кстати, этот спор демонстрирует Вашу некомпетентность, а следовательно уязвимость. Но Вы же не начнёте самообразовываться, чтобы понять в чём Вы не правы? ;)
Мы с вами о чём-то спорим? Я высказываю Свою точку зрения, и не могу быть не прав в том что это именно Моя точка зрения. Для того здесь и есть комментарии, чтобы так делать. А насчёт утверждения про некомпетентность - в чём именно я должен быть компетентен при выборе телефона? Этому где-то учат? Надеюсь, вы не переходите на личности. Было бы грустно за вас.
Всё равно государство должно бороться с мошенниками и не стоит винить их жертв. Это банально выгодней с точки зрения теории игр. Когда все только и заняты что защищаются от кидалова или кидают друг друга - на это тратятся ресурсы, коим можно найти более полезноек применение.
Не может человек быть компетентен во всём
CHALLENGE ACCEPTED.
Можно пруфов того, что на карточках товаров в маркетплейсах написано «пацаны, не берите, тут вирус, пишу из прошивки радиомодуля”? На коробке и в инструкции тоже было бы неплохо.
Ну, то есть, безвредных квадроберов гонять у него время есть, а изучить то, что напрямую влияет на его благополучие — нет.
Это не человек, это Шариков какой-то
Вы когда к врачу идете, например к хирургу или нейрохирургу на прием все знаете о его специфике работы ?
Вы полагаете, можно к любому идти и нет разницы? Если что у врачей есть отзывы, есть прямо сервисы отзывов на врачей. И да, их даже можно по отзывам выбирать в платных клиниках или по ДМС. А зачем мне специфику знать, если я могу изучить более важные вещи, такие как цена, качество и результаты? Это вполне сравнимо с подготовкой к покупке телефона.
Изучать телефоны изнутри не надо. Не требуется уметь их перешивать или паять. Надо изучать продавца, который ими торгует, отзывы на модель, глянуть на форумы. Это применимо к чему угодно от выбора отеля до покупки автомобиля. Не требуется уметь ремонтировать автомобиль, если ты не планируешь, чтобы он часто ломался. А вот среднее по больнице, состояние рынка и так далее вполне норм поглядеть. Это не занимает чрезвычайно много времени и не делает вас экспертом в области.
Какой-то неудачный пример у вас.
Если что у врачей есть отзывы, есть прямо сервисы отзывов на врачей. И да, их даже можно по отзывам выбирать в платных клиниках или по ДМС.
А вы уверены что отзывы не куплены/подделаны чтобы заманить вас в ловушку? Вы изучили сервис на предмет возможности манипуляций отзывами, прежде чем доверять ему?
"Я покажу тебе, как глубока кроличья нора" (с)
А в этом мире во всём можно быть уверенным?
Вы вот уверены, что у Вселенной нет границ или что в мире всего четыре фундаментальных взаимодействия а не больше? А то что в прошлое нельзя отправиться на машине времени или что Бога например нет? Или что он есть? Или что нельзя договориться с десятью форумчанами на каком-нибудь 4PDA и тупо не создать видимость переписки по товару и ввести в заблуждение?
Я уже не говорю о том что я не могу быть уверенным даже что вы не @Dnivd и мы не с вами начинали беседу про специфику работы.
Касательно врачей - лучше всё же поднатужиться и провести ресёрч, чем вовсе не проводить его. Или вы не согласны и хотите оспорить моё последнее утверждение?
Касательно врачей - лучше всё же поднатужиться и провести ресёрч, чем вовсе не проводить его. Или вы не согласны и хотите оспорить моё последнее утверждение?
А вот проведите исследование, влияет ли изучение отзывов на качество оказанной медицинской помощи. Вполне может оказаться, что трата нескольких часов или даже дней на изучение отзывов и выбор врача, улучшает ваши шансы на качественное лечение лишь скажем на 1%. Просто потому например, что шансы найти "плохого" (некомпетентного) врача в вашей местности будет слишком незначительным, а так же существует совсем ненулевая вероятность что качественный врач произведёт некачественную работу, потому что скажем конкретно перед вашей операцией отмечал днюху лучшего друга и мучался похмельем, несмотря на кучу положительных отзывов на сайтах.
проведите исследование
Отличная идея! Знаете, раз уж вам пришла эта замечательная идея, отчего бы вам не заняться? На хабре статейку напишете. Все вам только спасибо скажут! Вперёд!
Зачем исследование, когда я гарантирую вам наличие ложных отзывов на любой площадке, направленных на манипуляции рейтингами с целью ввести вас в заблуждение. Так что в принципе, если вы пойдёте к первому попавшемуся доктору, вероятность получить квалифицированную медицинскую помощь будет примерно такой же, как если вы выберете врача с высоким рейтингом - ведь вероятность что рейтинг накручен, довольно высока. Пруфы о манипуляциях рейтингами нагуглить легко и просто, вот вам первый попавшийся мне пример:
https://prodoctorov.ru/info/rate-fraud-free/
https://irecommend.ru/content/sait-prodoktorov
https://pikabu.ru/story/kak_rabotaet_sistema_otzyivov_na_prodoktorov_9179749
Я практически уверен, что подобный опыт вы можете получить для любой системы. Следовательно, прежде чем ориентироваться на отзывы, вы должны изучить платформу на предмет манипуляции отзывами с целью формирования ложных рейтингов, иначе грош цена вашим потугам. Уж лучше пойти к случайному доктору, чем выбирать врача по ложным отзывам.
Напишите об этом статью! Ну и раз уж вы гарантируете, то я уже во всём уверен.
В попытках заглянуть глубже в кроличью нору в теме про отзывы про докоров вы уже столько ресёрча провели, сколько я бы не стал делать при покупке китайского телефона от дядюшки Ляо, что как бы мог сказать Бондарчук - снимаю шляпу.
Вот вам статья:
Не доверяйте никому. Даже себе. Правило Мёрфи гласит, что если вы можете оказаться некомпетентным в каком либо вопросе, вы окажетесь некомпетентным. Так же как и любой другой человек или ресурс. Любой источник информации может оказаться лживым. Может быть подделан или сфальсифицирован отзыв кого угодно о чём угодно, чей угодно профиль, любое устройство в продаже, товар или услуга. Единственное на что вы можете полагаться - что в случае обмана или предоставления некачественной услуги, вы можете потребовать адекватной компенсации вам (или вашим наследникам, если следствием окажется ваша смерть). Если в вашем государстве такая защита ваших прав не гарантируется, вам стоит подумать о смене места жительства, ведь это единственное на что можно положиться.
Так разве я вам не это же самое написал в комментарии https://habr.com/ru/news/874890/comments/#comment_27812050 ? Или вы мне пытаетесь доказать что ветер дует а вода мокрая? Это же очевидно.
Вы там написали
лучше всё же поднатужиться и провести ресёрч, чем вовсе не проводить его
но я считаю что вы некомпетентны в вопросе проведения ресёрча, так что да, не считаю проведение его необходимым, поскольку вы не можете определить, не попадёте ли вы под манипуляцию в силу вашей некомпетентности
Кто выдаёт компетенции? Где их выдают? А для себя ресёрч проводить можно? Я для себя тоже у вас разрешения должен спрашивать? А вы компетентны? Если да, то почему вы так считаете?
А вот проведите исследование
Зачем исследование, когда я гарантирую
я считаю что вы некомпетентны в вопросе проведения ресёрча, так что да, не считаю проведение его необходимым
Вы странный. Так проводить или нет?
Много вопросов как-то уже получилось для простого трёпа в комментариях между двумя дилетантами.
почему вы так считаете
Потому что я практически уверен, что вы никакого обучения правильному ресёрчу не проходили, качественного опыта не имеете, соответственно компетенцией не обладаете. Вот диплом об обучении по программе какой-то типа "программирование на ..." у вас наверное найдётся, и компетенция там какая-то да есть, а вот компетенции правильно искать врача у вас нет по определению.
Так погодите, а зачем мне что-то кому-то доказывать, если ресёрч я могу провести сам для себя при наличии в том необходимости лично. И результаты вам не покажу. И выбор сделаю на основе собственных выводов. Даже если выводы окажутся не достаточно достоверными, это полностью моё решение. Или вы силитесь мне доказать, что это всё тлен? Так в принципе жизнь тоже тлен, мы все в конце концов умрём. Можно даже не лечиться, не то что бы выбирать у кого. Логика ведь тоже есть. Даже можно выбирать скажем врачей по цвету волос. Лечиться у рыжего врача. Просто потому что почему бы нет? Какие доводы есть, противоречащие возможности делать выбор на собственную ответственность за последствия? Для себя, а не для соседа, брата, свата или для вас?
Да ради бога, на здоровье как говорится. Хоть в плоскую землю верьте, хоть в собственную компетенцию в любом вопросе.
Я не считаю себя компетентным в любом вопросе, и мне совершенно непонятно, кто вам в голову вбил что я так считаю. Кроме того я нигде не утверждал, что я компетентен в вопросе выбора докторов для кого-либо кроме себя. На достаточном для себя уровне для я компетентен в этом вопросе. Для других доктора я подбирать и не стал бы, если только ко мне специально бы с этим не обратился достаточно близкий человек, уверенный в моей в том компетенции больше чем в своей и я был бы с этим согласен.
Вы же можете верить также хоть в чёрта лысого, я вам нисколько не запрещаю. Также как и в мою некомпетентность в вопросе выбора докторов. Мне же их для вас выбирать не надо, а значит от моей некомпетентности вы не пострадаете.
На достаточном для себя уровне для я компетентен в этом вопросе. Для других доктора я подбирать и не стал бы
То есть вот для себя в вопросе выбора скажем смартфона вы компетентны, а для свой бабушки уже компетенции не хватает? Либо вы компетентны в вопросе, либо нет. Если вы не готовы подбирать доктора соседу, значит и для себя вы не компетентны сделать здравый выбор.
И точно так же с компетенцией в любом вопросе. В том числе и вопросе покупки техники в онлайн или оффлайн магазинах. Вы утверждаете что все должны/имеют компетенцию правильного выбора, я утверждаю что мало кто компетентен распознать подделку или сомнительное предложение о котором тут мы рассуждаем.
Вы вероятно не так понимаете компетенцию как я. По вашим словам она либо есть, либо её нет. Бинарная логика чёрного и белого.
В моём понимании компетенция может иметь уровень прокачки. Скажем, для своей бабушки я более чем уверен, обладаю большей компетенцией чем она в вопросе выбора смартфона, а значит моя компетенция для неё полезна. Но например кто-то с техническим образованием и знаниями схемотехники, с детства держащий паяльник в руках будет вероятно более компетентным чем я. Но и моя бабушка в свою очередь будет более компетентна в этом вопросе чем скажем папуас из племени ни разу не видевшего белого человека, не то что смартфон.
Так что да, я утверждаю что какой-то компетенцией люди обладают. Разумеется знания и навыки у всех разные, и распознать подделку может и человек - гуманитарий без технических навыков, но вполне себе понимающий, что слово "samsung" пишется не "sumsang", что явно является подделкой. Некоторые люди имеют богатый опыт работы на вещевых рынках и будут искать признаки подделки в неожиданных для меня местах, сравнивая упаковку, шрифты или качество краски на логотипе.
Таким образом я с вами не согласен и считаю что вы также как и я некомпетентны. Но уже в вопросе установления компетентности. Мало того что никто профильным знаниям в этой области не обучает, а значит у вас даже гипотетически не может быть какого-либо диплома в этом. Так ещё и спорите, вместо того чтобы согласиться с возможным фактом того что вы не умнее остальных. Да, это безусловно трудно. Но примите как факт, что ни я ни вы не всегда правы, даже если в этом уверены.
Вы вероятно не так понимаете компетенцию как я. По вашим словам она либо есть, либо её нет. Бинарная логика чёрного и белого.
Не совсем. Компетенция имеет уровень. Если он достаточен, вы компетентны. Если уровень ваших знаний/умений недостаточен конкретно в данном вопросе, у вас недостаточная компетентность / вы некомпетентны. В данном вопросе. Например, вы можете быть компетентны в чистом Си, но некомпетентны в Си++, потому что никогда на нём не программировали. Компетенция набирается знаниями плюс опытом их примененения.
В случае поиска врача по отзывам на сайтах, я могу предположить что вы не занимались подобными поисками достаточно часто, не анализировали как ваш поиск повлиял на конечный результат (лечение), и в целом вы не имеете компетенции в вопросе "как правильно искать врача". Ну что поделать, я например так же некомпетентен в этом вопросе, просто знаю, как легко манипулировать мнением людей с помощью сайтов с отзывами :)
Вы подменяете компетентность на готовность принять риск.
Риск ошибки в случае со смартфоном и с выбором врача — отличаются на порядки по последствиям.
Тут нет подмены, риск - это одно, а опыт и знания по профильной теме - другое. Компетентность в таком случае - как раз умение применить знания и опыт для решения задачи.
Вы можете потерять здоровье, если врач ошибётся при вашем лечении. И даже очень крупно потерять. Но даже опытный и компетентный врач может допустить ошибку. Неопытный врач сделает такую ошибку вероятнее. Но тут просто разный риск.
Если же вы купите смартфон, который сольёт все ваши пароли мошенникам, то можете остаться на улице и без денег или даже оказаться виноватым в преступлении, если вас подставят.
Масштаб очень даже сопоставим с потерей здоровья.
Нет, компетентность предполагает понимание вопроса и наличие опыта, в том числе понимание границ применимости имеющихся знаний/умений. Эти границы не зависят от того, применяете вы знания или умения к себе или к кому-то другому - вы либо компетентны в вопросе, либо нет, в не зависимости от прочего.
Риски же, вы берёте на себя вне зависимости от наличия у вас компетентности, просто из расчёта можете или нет вы потянуть последствия.
Риск менеджмент как раз применяется в сфере, где отсутствует компетенция, так как сама компетенция уже подразумевает минимальный риск вашей ошибки.
Другими словами, если вы готовы подобрать смартфон себе, но не готовы своей бабушке - это значит что у вас нет достаточной компетентности в сфере современных смартфонов. В этом случае вам даже для себя лучше смарт искать, консультируясь с кем-то компетентным, поскольку риск взять себе неоптимальный смарт достаточно велик, несмотря на то что вы этот риск готовы понести.
вы либо компетентны в вопросе, либо нет
у вас уживается с
Компетенция имеет уровень.
Тут или трусы снимать или крестик надевать.
если вы готовы подобрать смартфон себе, но не готовы своей бабушке - это значит что …
… для себя можно взять интересную модель нового бренда третьего эшелона на поиграться, пусть он даже сдохнет через месяц, а у бабушки от таких фортелей случится инфрахт микарда.
Это и есть риск.
Тут или трусы снимать или крестик надевать.
Ещё раз. Каждый вопрос имеет свой уровень компетенции, чтобы в нём быть компетентным. Если ваш уровень недостаточен, вы не компетентны. Конкретно в данном аспекте. В другом вопросе/области/технологии/итд вы можете при этом быть компетентным.
Главное что вам следует понять - нельзя быть компетентным во всём. И нельзя требовать, чтобы рандомно взятый человек был компетентен в определённом вопросе/сфере. Это конкретно касается вопроса выше
А что именно им мешает понять или разобраться в вопросе?
Нельзя требовать разобраться в том или ином вопросе рандомного, далёкого от этого вопроса человека. Например потому, что он хочет смартфон здесь и сейчас, а не изучать технологии два года.
Ещё раз …
… перестаньте себе противоречить.
Компетенция или есть но недостаточна, или ее нет, но не оба два сразу.
Если ваш уровень недостаточен, вы не <…> компетентны
<…> === недостаточно
То есть, перестаньте намеренно врать, опуская ключевые слова ради искажения смысла.
Главное что вам следует понять …
… что врать и разводить демагогию — контрпродуктивно, а носиться со своими определениями при этом — равно выставлять себя непингуемым идиотом.
Нельзя требовать разобраться в том или ином вопросе рандомного, далёкого от этого вопроса человека
А кто-то вот прям требовал?
Для произвольно взятого человека действовать в собственных интересах — это, ВНЕЗАПНО, в собственных интересах того самого человека.
Еще раз, не разводите демагогию.
или есть но недостаточна, или ее нет, но не оба два сразу
Я так понял, что у вашего собеседника случилась хорошо известная проблема входного уровня, который в силу то ли ошибочной схемотехники, то ли еще какой-то требующей выяснения и устранения причины, оказывается выше порога логического нуля, но ниже порога логической единицы. Я бы, наверное, начал с установки компаратора на входе, где на одном входе трусы, на другом крестик - это позволит усилить сигнал до более однозначных в своей дискретности нуля или единицы. Это помимо того, что я опять (да сколько же можно уже!) с вами согласен, и в диспуте с вашим участием стаю на вашу сторону по одной единственной, но для меня субъективно достаточной причине вашей правоты.
Т.е. ваша рекомендация – изучить отзывы, форумы и цену по рынку? Ну так и что это даст? Вот у кого-то украли банковские данные и совершили мошенничество. Кто пойдет после этого писать плохой отзыв на телефон, и по какой причине? Как вообще определить, каким образом данные утекли? В большинстве случаев этот момент остаётся неизвестным.
Например сходить на 4pda, поглядеть что пишут про телефон, про прошивки к нему, про проблемы, выяснится скажем кто-то добрый с этой моделью телефона нашёл странные предустановленные приложения, просниффал трафик и обнаружил левые запросы к деду Ляо или какие-то скрытые SMS в сторону хрен пойми чего и зачем. Это даст понять что где-то тут что-то не так. Позволит насторожиться.
Может будет написано, что одна и та же модель продаётся под разными именами. Да мало ли чего можно обнаружить, если почитать.
В большинстве случаев этот момент остаётся неизвестным.
Но не во всех. Конечно вы можете не интересоваться, а покупать телефон исключительно глядя на цену, название и красивую картинку. Пользы в поисках потенциальных косяков с прошивкой это не принесёт, но время сэкономит.
Т.е. ваша рекомендация – изучить отзывы, форумы и цену по рынку?
А что вы можете предложить?
Вы когда к врачу идете, например к хирургу или нейрохирургу на прием все знаете о его специфике работы ?
А он?
а экспертом то быть зачем? что, трудно форумы почитать, отзывы на модель? это сверхчеловечески сложно? если не хочется заморачиваться так, что шерсть пробивается и хобот отростает, то зачем обижаться, что вас держат за мамонта?
Невозможно быть экспертом во всём.
Ви так говорите, как будто ви пробовали.
Не обязательно быть экспертом во всём — вполне достаточно не быть лохом во всём.
Товар не просто дешевле - он фейковый от и до: https://habr.com/ru/articles/858678/
Если девайс палёный, то на него заводскую прошивку, скорее всего, и не достанешь (про телефоны известных брендов молчу, там при ценнике в 20% от рыночной сразу должны подозрения закрасться)
Всегда начинаю использовать новое Android устройство с чистки от ненужного мне мусора с помощью этой утилиты: https://github.com/0x192/universal-android-debloater/releases
В большинстве случаев такая чистка может выявить подобный софт. Но тут нужна определенная сноровка, не каждый сможет навскидку сразу такое найти.
почему начали, мне кажется это всегда так было. Всякие андроид приставки, камеры, телефоны, разница только в том чей это ботнет)
Китайцы уж точно лет 15 этим занимаются, если не больше. Самому такое попадалось, причём в фирменной нераспечатанной упаковке https://www.wilderssecurity.com/threads/possible-chinese-spyware-that-is-embedded-into-flash-drives-hds.183406/
Про кабель я впервые услышал. Вроде, логично, но даже не задумывался.
Проблема - воткнул USB-кабель, запустился autorun, с кабеля скопировался вирус.
Выход - втыкать кабель только при включенном антивирусе. Запретить autorun для кабелей.
а разве autorun не относится только к исполняемым файлам в виде EXE. А если это типа фрайвероы устройства с inf когда например подключаешь клавиатуру или мышь и там автоматом "детектится новое устройство" и винда ставид драйвер с этого устройства (там по сути даже не видны эти файлы через файловую систему)
Или я что то путаю?
На Windows 7 и новее автозапуск с накопителей по-умолчанию отключен. На 8 еще и с оптических приводов.
Это дыра времен Vista, XP и раньше - сунул флешку с вирусом, а он и запустился.
А всякие мышки - там же какой-то универсальный драйвер типа plug and play? В драйверной части не силен, но вроде так. Если пользователь хочет какой-то дополнительный драйвер для расширения функционала - ставит его сам.
Вероятно, кабель говорит, что он клавиатура, а потом начинает нажимать разные клавиши, в том числе запуск консоли и команды в неё. А вот повысить права уже сложнее.
винда ставид драйвер с этого устройства (там по сути даже не видны эти файлы через файловую систему)
Это где такое происходит? У меня вот вчера пришел usb-ethernet с Али, он определяется как CD-ROM с установщиком драйвера. Autorun.ini лежит, но он, разумеется, игнорируется.
Запретить autorun для кабелей.
Кабель говорит "а я внешняя сетевая карта", имитирует соединение, "у вас есть новое важное обновление безопасности"...
Имитировать TSL соединение без приватного ключа сертификата домена слишком сложно даже с помощью мощного кластера серверов (нужно подобрать ключ шифрования, по которому поддельный сертификат будет признан легитимным), не говоря уже о простеньком устройстве с питанием от USB. А без наличия ключей шифрования, соединение не будет доверенным и ничего не сработает. И это я ещё только про скачивание, а дальше нужно будет как-то обмануть систему проверки цифровой подписи установочных пакетов.
Ну, поддельный TSL и взлом службы обновления - это уж совсем суровое хакерство. Проще надо быть, HTTP и всплывающее окно в браузере. А кто что-то заподозрит - тот не целевая аудитория.
Проще надо быть, HTTP и всплывающее окно в браузере
Каким образом?
Атака BadUSB-Eth, карта создаёт новый интерфейс с масками, которые делают её приоритетной (роутинг через USB устройство становится самым коротким путём). И весь сетевой трафик идёт через одно место, а дальше насколько хватит фантазии атакующего - подмен адресов, js инжекции, перехват куков, сканирование RDP...
Я жадная, мне жалко +5к за комплектацию с виндой, у меня линуха стоит.
Проблема - воткнул USB-кабель, запустился autorun
Не проблема: автозапуск autorun с флеш-накопителей, помнится, был отключен мокрософтом ещё в Vista.
Мне кажется нонеймы с ценой ниже рынка уже очень давно с бекдорами, троянами или еще чем-то. Несколько лет назад на хабре была статья, как кнопочные телефоны лезут в инет по адресу производителя как минимум отметиться где их включили, а некоторые потом еще и подписку на сервисы организуют.
Подтверждаю. У меня у самого пара древних(на четвёртом роботе) бюджетных смартфонов валяется, купленных по глупости. Троян встроен в заводскую прошивку и соответственно никаким антивирусом не удаляется. Только перепрошивка. Спустя год пользования, он активируется и начинается рекламный ад для владельца. Постоянная полноэкранная реклама, которую ни закрыть ни пропустить.
Я думаю там были разнообразные решения. ИМХО в самсунгах и сяомах чего-то такое отжирающие память за два года встроено, сколько бы памяти не было изначально, за два года она закончится и начнется "не хватает свободного места".
У меня самсунги последние десять лет. Даже в самом старом, нет проблем с памятью. Ни с ОЗУ, ни с флеш. Вернее есть, но забивают её разжиревшие сторонние программы. А с китайцами да, место вроде бы есть, но вроде бы и нет, типичная проблема.
У меня разные были, менялись по разным причинам. Последний самсуснг конечно поругивался на память, и сожрал непонятно куда многовато, но заменила я потому что стекла бились даже в суперзащищенном чехле (до этого был ZTE в самом простецком чехле лишь бы не выскальзывал, прыгал по ступенькам в метро, стекло целое, но сам в какой-то момент после небольшого падения выключился навсегда)
Не знаю, что конкретно у вас произошло. И про какую именно память идёт речь. Та же телега или вацап, с радостью засирают всю доступную память, если кэш не настроен нормально.
По поводу прочности, у меня даже защитных стёкол и плёнок то никогда не было и ни одного не разбил. Чехлы самые обычные, тонкий силикон почти без бортика. Максимум мелкие царапины, на что я никогда не обращаю внимания, т.к. пользоваться они не мешают, а свои смартфоны я не продаю, коллекционирую стопочкой. Да и меняю, когда они подтормаживать начинают, так что и цена продажи будет низкой.
Размер пользовательских данных можно посмотреть, в том числе и медиа от вотсапа и телеграмма. Но баланс свободно/занято не сходится.
Ну вот у вас так, а у меня по другому. И что? Это личный опыт. Один телефон в одном сценарии использования несколько раз бился, другой нет. Просто модель такая неудачная.
Андроид, как и Шиндус, забивается мусором со временем. Особенно, если много программ устанавливается, а потом удаляется.
Ко мне пару раз обращались с китайфонами. Всякие чистилки не помогали. Ресет и вся память вернулась обратно. Я на самсунгах не сталкивался, вероятно потому что список программ стабилен из года в год.
Мне кажется нонеймы с ценой ниже рынка уже очень давно с бекдорами, троянами или еще чем-то.
Так даже типа брендовые Xiaomi - с рекламой, а GMS - один гигантский бекдор с неизвестно чем внутри. Понятно, что у кого (из т.н. производителей) с чистоплотностью еще хуже, могут вытворять дела куда как менее приятные для жертвы.
Несколько лет назад на хабре была статья, как кнопочные телефоны лезут в инет по адресу производителя как минимум отметиться где их включили, а некоторые потом еще и подписку на сервисы организуют.
Более того скажу, на одном известном сайте для любителей муртазиновщины тоже что-то такое пытались писать, разве что технический уровень ведущего мобильного аналитике не сказать, что достаточный для рассмотрения подобных (читай любых) вопросов достаточно глубоко и с достаточно полным пониманием, зато и для аудитории с подготовкой пониже вроде как менее непонятно, о чем вообще было написано.
Я так и не понял. В заголовке написано: «Киберпреступники начали продавать заражённую вирусами технику на маркетплейсах». Далее в тексте: «…киберпреступники могут продавать заражённую вирусами технику на популярных маркетплейсах». Так «продают» или «могут продавать»? Делать и хотеть делать – это как бы немного разные вещи. Если продают – где факты с детальным обзором этой заражённой техники? А если «могут продавать», тогда следует, что могут и не продавать. И в итоге проблема высосана из пальца. Уж если где и попадется зараженная техника в первую очередь, так это на барахолке типа Авито.
Так «продают» или «могут продавать»?
Продают, и давно уже. И не «киберпреступники», а сразу производители. Вот, например: Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы / Хабр
Вот тут то knox на самсунгах который не провернуть назад и пригодился)
Пока такое не начнет вытворять сам Samsung.
Ну рекламу воткнуть ещё может быть, но хотя бы можно быть увереным что троянов нет, и деньги не сольют через смс подтверждение.
Скорее всего производители выпускают на рынок вполне чистые бюджетки, которые покупают мошенники и перешивают на вирусофицированную прошивку, перепродавая потом с минимальной наценкой. Так и производителя формально не привлечь, и все кроме пользователя давольны.
Схема кстати не новая, и уже лет пять назад можно было купить бюджетку с али, которая начинала запускать непонятные приложения и сливать все данные.
Для того чтобы защититься от подобных угроз, эксперты советуют [...] сразу установить защитное решение и просканировать устройство
А я хабровчанам советую брать устройства с разблокированным загрузчиком, и ставить прошивку от сообщества вроде LineageOS Android Distribution.
А простым людям — советую наоборот, с закрытым загрузчиком, подписанной прошивкой, и с функцией «сброс и очистка», вроде iPhone.
Последняя пара лет показала, что открытый код далеко не гарантия безопасности, а возможно наоборот уязвимость: сколько всякого было с "ой, кажется у вас российский IP, мы вам удалим всё до чего дотянемся".
Такое чаще бывает в коммерческом ПО с принудительными обновлениями, или в SaaS. Рекомендую не пользоваться ни тем, ни другим.
LineageOS скачивается в виде файла по публичному URL, ставится локально, не требует авто-обновлений, и отлично работает 100% offline. А исходный код текущей версии можно проверить перед установкой, или попросить специалиста.
Я вот специалист в близкой теме и примерно представляю себе сложность такой ОС. Полноценная проверка - несколько человеколет работы специалистов весьма узкой и не часто встречающейся квалификации. Поверхностный просмотр может быть только уровня "ну это действительно от той команды пришло", то есть ничем принципиально не отличающийся от официального закрытого кода коммерческого ПО. Но в опенсорс коммиты и изменения приходят от условно кого угодно, и как показывает практика даже владельцы бесплатного ПО далеко не всегда делают нормальный кодревью перед мерджем изменений. В коммерческом ПО за такие "шалости" отвечает компания, и там это согласуется с общей публичной политикой компании. Случаи 2022 года с коммерческим ПО были больше из разряда "мы дальше не предоставляем вам наш сервис", а вот бесплатное ПО грешило порчей данных уровня трояна.
бесплатное ПО грешило порчей данных
В любом коммерческом ПО порча данных прямо прописана в EULA — как и отсутствие ответственности.
СПО у каджита теряло вкладки (firefox) или забывало логины и пароли (opera) или теряло несохраненные файлы (sublime ранних 3-их версий). Говорят, efibootmgr имел в каком-то релизе проблемы с кривыми прошивками.
ЗПО отличилось куда как более: стирание загрузчика (ядиск), перемалывание диска в кашу (acronis, aomei, minitool), распространение месяцами окирпичивающих прошивок (M$), прошивки с троянами (Lenovo) и поддельными сертиикатами (те же)…
СПО: линуха прекрасно сама себе терла загрузчик при обновлении, после только винда загружалась. Другая версия при обновлении ядра теряла поддержку вайфая на ноуте. В 2022 бесплатное ПО терло файлы в рабочей папке при попытке сохранить изменения, не помню что там было, я не люблю обновления и у меня продолжило работать, а коллеги пострадали. С бесплатными прошивками нужна инструкция как НЕ окирпичить устройство. Леново изначально фирма так себе с соотвествующей репутацией.
У вас как-то в кучу кони и люди )
линуха прекрасно сама себе терла загрузчик при обновлении
В 1997 — возможно, тогда загрузчиков был зоопарк и поддерживать его было той еще заботой, особенно, если пользователь решил повыделываться и воткнуть какой-нибудь syslinux вместо штатного lilo
при обновлении ядра теряла поддержку вайфая на ноуте
Опять юзер забыл поставить заголовки, не прибитые к версии ядра, и модуль, ожидаемо, не собрался? Так это проблема излишней кривизны юзера в непрофильных местах.
А как винда то звук, то сеть, то вебки, то принтеры испохабит — вам напомнить? Это буквально вся история 10.
Леново изначально фирма так себе с соотвествующей репутацией
Щито поделать, зато у них, в большинстве своем, прекрасно сбалансированные ноуты, клавиатуры с двойным литьем — а не эта порнография с легко сошкорябывающейся красочкой и сочащейся отовсюду лгбт-подсветкой, нормальные стрелки, а местами даже клитор.
Да нет, где-то в 2019 подумали что "ну линукс же уже допилили до состоятия поставил по эникею и работает" и попробовали воткнуть на новенький ноут. Естественно брали нормальные официальные версии. Первая попрбованная решили что просто не наша - что-то там многовато всякого системного по умолчанию не работало, типа спящего режима. Во втором дистрибутиве тоже не работало, смирились, но он потерял вайфай. Третий быстренько прибил свой загрузчик, осталась базовая винда. Так что расширили С диск на весь SSD. Ну и простояла она нормально до сего времени, но ребенок что-то там поломал в своем аккаунте, под "взрослым" работает, в детский не входит. (ура, растёт деточка! я в свое время любую ОС прибивала максимум за пару недель).
У нас сначала после ухода НР начали леновые ноуты покупать, а потом перешли на родную Квадру. По отзывам коллег - квадра не хуже. И дальше длинный список проблем с квадрой. Что в целом характеризует и ленову.
И на новенький ноут вы, конечно же, воткнули роллинг: например, рач или дженту? )
Третий быстренько прибил свой загрузчик, осталась базовая винда.
У каджита 11 недавно обновилась на планшете, где она стояла в дуалбуте. И, в лучших традициях, перезаписала BOOTX64.efi, хотя об этом ее никто не просил.
А если запустить рекавери, или сам запустится откат полугодовых обновлений — то еще и ESP скукожит обратно в 100МБ с форматированием.
Наверное, в этом тоже виноват линукс ))
- На этом и строится расчет, - подтвердил Блэйн. - Вроде бы
обычные, традиционные шалости на День всех святых. Но для
пострадавших это будет не просто озорство. Они решать, что все
силы ада вышли из тьмы и обрушились на мир. Повсюду им будут
видеться призраки, черти и оборотни. И так хорошего мало, а если
учесть больное воображение напуганных обывателей... Наутро будут
рассказывать о кишках, намотанных на забор, о перерезанных
глотках, о похищенных девочках. И всякий раз это будет не там,
где рассказывают, а где-то неподалеку. И люди будут верить.
Верить в любую небылицу.
Клиффорд Саймак, "Что может быть проще времени"
Вот только позавчера проходил похожий квест,но не из-за винды, а из-за кривого UEFI. Надо было воткнуть винт от сдохшего хранилища и сбэкапить каталог с данными от VaultWarden. Беда в том, что SATA кабель с мамкой шел всего один, и на нем сидит НЖМД от лаптопа, на котором EFI раздел, куда луникс пишет grubx64.efi. Переткнул, загрузился в винду, помучался с втыканием в нее extfs (через WSL решил), втыкаю обратно, нет пункта грузить grub.
Оказалось, корявый UEFI вычеркивает из BCD пункты опций загрузки, которые оказались недостижимы.
Лечение: грузимся в EFI SHELL, далее ищем FS(x), соответствующий винту, где лежит наш grubx64.efi
bcfg boot dump
Берем следующий за последним в списке номер
bcfg boot add (NUM) FS(x):/EFI/grubx64.efi “Loonix Grab”
Добавили граб обратно. В принципе, можно на этом заканчивать, но на всякий случай можно шлифануть
bcfg boot move (NUM) 0
Чтобы махнуть граб опцию с первой в списке.
Далее в биос, выбираем граб опцию для UEFI. Сохраняем, ребутаемся.
Сдается мне, это не винда накосорезила у тебя, а UEFI тупорылый посбрасывал свой BCD, винде не осталось ничего, кроме того, чтобы убедиться, что она сможет загрузиться.
Ну, диски не менялись, а вот размер файла в ESP изменился.
А UEFI на том планшете и вправду кривой: он тупо не отображает другие загрузчики, прописаны они в переменных или нет (хотя, если честно, переменные не проверял, может, их тупо не было — но принципиально нет разницы, удаляет ли прошивка невиндовые загрузчики или просто скрывает). Решилось просто: выносом загрузчика на microsd: она воспринимается как внешний диск, и все что там есть корректно отображается
Sublime разве СПО?
Случаи 2022 года с коммерческим ПО были больше из разряда "мы дальше не предоставляем вам наш сервис"
А вот реально - сколько такого было? А помню буквально единичные случаи и потом такой код быстро исправлялся другими разработчиками.
Чуть побольше было разных лозунгов в духе мы поддерживаем определенную страну, там речь могла идти о десятках-сотнях случаев - но за последний год и это как-то поутихло.
ставить прошивку
А я наоборот, после многих лет всего вот этого вот ушел на айфоны, ибо надоели уже все эти развлечения.
Пф... Странно что только сейчас до них допетрило, что так можно вирусы грузить. Ведь можно было этим заняться 15 лет назад, когда к примеру наше правительство начало требовать ставить рос. ПО на смартфоны. Это же рай для мошенников всех мастей.
Я лично вообще против стороннего по предустановленного. Только базовое, а остольное я или кто то другой, сам должен решать. Устанавливать или нет.
От софтовых бэкдоров - препрошивка флеша по взрослому - через JTAG, без всяких танцев с бубном вокруг "разблокировки загрузчика", так вижу. При этом вендорские "железные", бэкдоры которые для "вашего же блага" никуда не денутся.
Современный смартфон, за редчайшим исключением, это в превую очередь(и во вторую и в третью) троянец, разница лишь в хозяине троянца и функционале троянца ..
Это все, конечно бывает, да и про встроенные руткиты и стилеры в дешёвых телефонах давно уже пишут, но мне интересно, почему в статье нет вообще никаких конкретных данных? Например сколько обнаружено за год кабелей с badusb с того или иного маркетплейса? Почему бы не сообщить статистику?
почему в статье нет вообще никаких конкретных данных?
Потому что это типа "Британские ученые установили" и дальше немного покромсанные, местами вырванные из контекста цитаты Кэпа вперемешку с фантазиями автора и/или редактора, это выпустившего - как на стороне оригинального материала, так и на стороне перепечатки, если это перепечатка.
Почему бы не сообщить статистику?
Потому, что ее нет. Есть только домыслы о том, что могут сделать (и по тону заметки звучит так, что пока еще не сделали, но только лишь потенциально могут, пусть прямо этот момент не оговаривается), причем эти домыслы, между прочим совершенно правильные по своей сути, неприкрыто игнорируют то обстоятельство, что нечто подобное, незначительно отличающееся в деталях исполнения, уже давно массово делается. Не то, чтобы отдельные злодеи перепрошивали вручную телефоны поштучно и потому поштучно их продавали ничего не подозревающим лохам покупателям - да, это до удивления просто возможно, и почему бы и нет на практике, а вообще вся партия телефонов, сколько-то там тысяч штук, с завода прошита соответствующим malware. И это не одна единственная партия, а чуть ли не вариант нормы.
вообще вся партия телефонов, сколько-то там тысяч штук, с завода прошита соответствующим malware
Потому что видимо это и есть бизнес-модель. Пока это не запрещено то сам заказчик, который заказывает OEM мобилки под своим брендом, пишет к ним свою оболочку и собирает прошивку с малварью сразу закладывается что железо уйдет по себестоимости, а деньги вернутся с малвари/подписок/облаков/рекламы и тд. Этож как приснопамятные мылору-агенты, которые везде суют свой нос и не вычистить их если поставил, непонятно где грань между ними и адварью и тд.
Если ПО рекламирует себя/свою экосистему и сопротивляется удалению это уже уже адварь или еще нет?
Просто этот бизнес переполз из баров браузеров в мобилки под новым соусом и с новыми возможностями. Раньше интересанты тратились на написание баров и агентов, теперь на сборку прошивок (в апдейтах прошивок места еще можно будет продать желающим "интегрироваться", с каждым апдейтом все дешевле). А железо юзер сам купит, по себестоимости отдадим чтобы лучше продавалось.
Потому что видимо это и есть бизнес-модель.
Да. И это, как по мне, отвратительно.
Если ПО рекламирует себя/свою экосистему и сопротивляется удалению это уже уже адварь или еще нет?
Пограничный случай, голосую за "уже да".
Просто этот бизнес переполз из баров браузеров в мобилки под новым соусом и с новыми возможностями. Раньше интересанты тратились на написание баров и агентов, теперь на сборку прошивок (в апдейтах прошивок места еще можно будет продать желающим "интегрироваться", с каждым апдейтом все дешевле).
Да.
А железо юзер сам купит, по себестоимости отдадим чтобы лучше продавалось.
За "по себестоимости" я совсем даже не уверен, но тут надо знать закрытые от любопытствующих подробности. Хотя, безусловно, некорректно мешать разное в одну кучу, но чисто эмоционально вполне уместно напомнить, что как минимум наценка маркетплейса тут на ровном месте возникает, и даже если продавец в результате выходит в ноль, для покупателя цена сходу растет на треть.
В 18м году был крупный скандал в Германии. Там выявили около 20тыс. моделей смартфонов с предустановленным зловредом, который просто так не извести.
Некоторые модели улефонов (Ulefon) содержали троян Andr/Xgen2 в SoundRecorder. После активации он мог скачивать и устанавливать приложения без ведома пользователя, а убрать его крайне сложно, поскольку большинство официальных апдейтов были заражены.
https://www.zdnet.com/article/germany-backdoor-found-in-four-smartphone-models-20000-users-infected/
По этой же теме о скрытом, шпионском по, которое отсылает информацию на китайские серверы. Судя по всему, коснулось сотен тысяч девайсов. Дело было еще в 16году.
https://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html
Это было еще с тех времен, когда продавали китайскую фиговину, и на диске с дровами были вирусы. Флешки с автораном и порнобаннером лично получал. Были трояны на кнопочниках китайских, массово, через них оформлялись дорогущие подписки на всякое нецензурное, о чем бедная подписанная бабушка и знать не знала. Сейчас, когда подписки прикрыли, так распространяют боты для спама мессенджеров и соцсетей, для поддержания трендов в них - трастовые мобильные акки реальных людей долго не банят, в отличие от авторега...
Вирусы никто на таких девайсах и не прячет, жулик он вам не хакер ЦРУ - взял любое из открытых приложений, типа камеры, добавил туда загрузчик бота, закинул в системные, собрал прошивку. Или еще легче - после продажи основного объема смартфонов сервис обновления (а он есть даже в Сосунге С24 ПРО-СУПЕР) со всеми потрохами продается злоумышленнику, и тот волен делать все, что угодно. Тот, кто покупает Ноклу с телевизором или Сосунг, ССЗБ.
Насчет вирусов в нативных разделах - можно не переживать - там их нет. Завод базовых плат для всей пали не даст чужим людям ключи подписи от системных разделов, и сам тоже подставляться не будет - у него бизнес не копать, а лопаты продавать. Жулику тоже это не нужно, он бьет по площадям, и один гик, нашедший его трой и удаливший, погоды не сделает. Прятать зловред не имеет экономического смысла, так как искать его никто не станет...
Статья не соответствует заголовку. В заголовке про то что начали, а в статье про то что могут начать. А конкретика могла бы быть очень интересной. В комментариях тоже в основном абстрактные намеки, одна ссылка на старую статью про кнопочные телефоны.
Начали? Да они ещё 10 лет назад продавали через официальных продавцов вроде операторов связи.
Если человек покупает смартфон с большим экраном и более менее работающей технической частью за 4 тысячи рублей, то у меня скорее к нему вопросы, чем к продавцу с корыстными целями)
Все наши данные уже давно миллион раз слиты всякими "доверенными" приложениями и конторами, уже и не знаю, что нового они могут слить, может я о себе что-то не знаю...
Интересно, а аппаратно эти телефоны с закладками такое-же унылое г-но как в статьях про разбор s23-24-ultra?
Если они аппаратно интереснее (CPU свежее, памяти больше), я бы прикупил бы такого заразного на "поковырять".
После покупки симки (или перехода на другой тариф) для моего кнопочника
сразу в салоне сотового оператора отключаю gprs. Только после этого заряжаю
симку в кнопочник. Обычно через ЛК это сделать не получается.
Киберпреступники начали продавать заражённую вирусами технику на маркетплейсах