Китай обвиняют в установке шпионского ПО на телефоны туристов, въезжающих в Синьцзян-Уйгурский автономный район



    Журналисты сразу нескольких крупных западных СМИ заявили, что при въезде туристов в Синьцзян-Уйгурский автономный район власти Китая устанавливают им на смартфоны шпионское ПО. Операция, о которой идет речь, обычно занимает совсем немного времени. Программное обеспечение устанавливается для сканирования телефонов и загрузки определенных файлов.

    После проверки представители органов власти иногда забывают удалить установленные приложения. Так случилось с несколькими журналистами, которые смогли проанализировать этот софт при помощи специалистов по кибербезопасности и рассказать о нем.

    Приложение, которое устанавливают власти, получило название Fengcai. Его ставят на телефоны с ОС Android, и обнаружили его почти случайно те туристы, которые въезжали в Синьцзян через пропускной пункт Иркештам на границе с Киргизией.

    Что касается обладателей iPhone, то их тоже проверяют, но уже не при помощи ПО. Представители власти подключают смартфоны производства компании Apple к специализированному устройству через USB. Что это за устройство неясно, но относительно недавно в СМИ публиковалась информация о том, что iPhone любых моделей и с любой версией ОС научились взламывать при помощи специфической аппаратуры. Этим, в частности, занимается одна из израильских компаний, специализирующаяся на кибербезопасности.

    Установка приложений выполняется на протяжении как минимум года. Так, один из путешественников, который попал в Китай в 2018 году, рассказал, что на границе у него забрали телефон, попросив ввести пин-код. Затем устройство унесли, и вернули приблизительно через час. После этого турист увидел на своем телефоне приложение, которое он не устанавливал.

    Кроме того, аналогичное приложение на своем телефоне обнаружил журналист немецкого издания Süddeutsche Zeitung, а также журналисты Guardian и Motherboard. Китайские власти проверяют как туристов, так и китайцев, которые по той либо иной причине посещают указанный регион.


    После того, как приложение проанализировали специалисты по информационной безопасности, оказалось, что приложение скачивает с мобильных устройств персональные данные, включая текстовые сообщения и контакты. Также оно проверяет медиафайлы на носителе, сверяя его со списком из примерно 73000 образцов. В этот список, в частности, входят публикации исламистов, признанных в Китае экстремистами.

    Но в этом же списке есть и материалы, которые никакого отношения к мусульманам или терроризму не имеют. В частности, приложение проверяет наличие изображений Далай-ламы и даже музыкальных композиций, выпущенных коллективом японских музыкантов, творящих в стиле Грайндкор. Это экстремальное направление рок-музыки, первоначально возникшее в результате смешения краст-панка и трэшкора. У этой группы есть песня, которая имеет отношение к Тайваню.



    В список входят статьи и книги иностранных авторов, которые пишут о джихаде, не являясь сторонниками этого религиозного движения. В частности, в этом списке есть книга о войне в Сирии, которая называется «Сирийский джихад». Она написана Чальзом Листером, который уже пытался убедить китайские власти в том, что его работа — исследование, а не пропаганда. Кроме того, есть там и книга по саморазвитию «33 стратегии войны» Роберта Грина, которая вообще не имеет отношения к религиям.

    Китайское приложение, кроме всего прочего, анализирует сигнатуры файлов с мобильных устройств, сравнивая их с базами VirusTotal.

    После того, как приложение проверяет содержимое телефона, оно генерирует отчет, в который входят все контакты, текстовые сообщения и история вызовов. Кроме того, в отчете есть и элементы из календаря событий и записи, извлекаемые из других приложений. Все это отправляется на сервер, расположенный в Китае.

    Пока что неясно, как именно власти Китая используют извлеченную информацию. Зато известно, что если приложение остается на телефоне, оно находится в неактивном режиме, сканирование данных больше не ведется.

    Комментарии 44

    • НЛО прилетело и опубликовало эту надпись здесь
        +5
        Самостоп и двоемыслие в чистом виде. Ждем новояз.
          +3

          Вам надо как-то привыкать что чем дальше тем больше айти будет связано с политикой. Это 15 лет назад айти было игрушкой для гиков. Сейчас больше нельзя говорить про ИИ не упомянуть моральные аспекты (подделка фото, поиск инакомыслящих, рабочие места, итд), говорить про социальные сети и на говорить про выборы, пропаганду, дроны и 3д принтеры — распространение дешёвого оружия, и проч.
          Если вы работаете над алгоритмом распознавания образов, вам придётся учитывать тот факт что ваша работа будет использована как для поиска котиков, так и для управления умными торпедами.
          Примерно как с физикой — до 1940х ядерная физика была интересна только математикам и лабораторным физикам, в 1950х любой физик уже считался стратегическим ресурсом.

            0
            Можно ещё отдельный хэш создать для политических и около того тем. Или раздел хабра. Может даже отдельный сайт…
            +3
            1. Делаем полный backup системы и приложений
            2. Сброс к заводским настройкам
            3. Проходим таможенный контроль
            4. Восстанавливаем backup
            5. PROFIT
              +5

              Малваря в фирмваре процесссора. profit, profit. Следующий.

                0
                Способ доставки какой?
                  +3

                  Через уязвимость в существующей фирмвари процессора. кривой скрипт на php — и у вас рут на процессоре.


                  Звучит как "что за хрень?" если не вчитываться в, например, в https://www.cvedetails.com/cve/CVE-2019-0126/ и забыть про существование ME и прочих штук.


                  У арма всё своё, но зато там модем на чипе со своей осью и дырами.

                    –1
                    Это малоприменимо массово, т.к. под каждый девайс и версию надо создавать отдельные модули. Другое дело — Android приложение, которое более-менее везде запустится.
                      +2

                      О, да. Сколько там моделей процессоров/модемов в природе? А сколько типов операционных систем в модемах у Qualcomm/Broadcom? Вообще, "малоприменимо массово" звучит так, как будто нельзя иметь набор автоматически применяемых уязвимостей в зависимости от модели устройства. Ну будет у них база не на 2 устройства, а на 50. Вы думаете, state sponsored атакующий остановится от этой страшной цифры?

                        0
                        Китайским властям не особо интересны (пока) особо одаренные товарищи, вроде вас. А вот массовая штука, которую можно накопать в телефонах бородатых ребят — вполне. Так что они будут вполне счастливы, если отловят 98% пробленых персонажей. Остальные 2% можно и не пытаться ловить — они будут иметь зашифрованный архив, валяющийся на непримонтированом разделе флешки, на которой написано 16 гигабайт, или вообще не иметь ничего даже условно подозрительного — им направленно со спутника отдадут нужный контент, если руководство ЦРУ согласует спецоперацию.
                  –1

                  Про восстановление удаленных но не стертых данных слышали? Требует root и пару часов времени в зависимости от объема памяти, но порог входа относительно низкий для Китая. Если sdcard, то и root не нужен.
                  Скорее всего в отчёте ещё будут топ 10 самых больших файлов на устройстве. Тут вы и спалитесь.

                    +1
                    В одной из похожих тем была ссылка на документ Бейскампа.
                      +2
                      Не получится. /home же зашифрован. Ну восстановишь ты несколько гигабайт фарша… Вот малварь куда-то в загрузчик уже опаснее. Хотя, скорее всего, лечится перепрошивкой из чистого образа от вендора.
                        0
                        На HTC область с firmware аппаратно заблокирована на запись. boot, system, data можно переписать из recovery, но эти разделы и восстанавливаются из бекапа. Обновить firmware можно только подписанным файлом. Хотя у китайцев могут быть эксплойты, но я сомневаюсь, что на любую модель и версию.
                        0
                        Про восстановление удаленных но не стертых данных слышали?
                        Внутренняя память сейчас работает по принципу SSD. То есть, после стирания данных делается TRIM секторов под ними и удалённые файлы не восстанавливаются.
                        +2

                        И тут тебя останавливает случайный патруль который делает аналогичную проверку

                          0
                          Да, это единственная существенная проблема. Тут можно 2 телефона носить и на проверку давать чистый. Скорее всего, патруль не будет проводить полный обыск.
                            +2
                            Скорее всего, патруль не будет проводить полный обыск.

                            А глядя в глаза, проникновенным тоном, скажет: «А вот по данным оператора %name, у вас два работающих телефона с собой. Нет, не один двухсимочный, а два разных, вы наверное просто забыли о втором, правда же? Вы же не пытаетесь его укрыть от досмотра?»
                              –1
                              Так не надо во второй ставить симку. Раздавай WiFi с первого.
                              • НЛО прилетело и опубликовало эту надпись здесь
                            +1
                            Second space по второму паролю.
                          +1
                          Подключение сторонних предметов может либо спалить чужое устройство либо подсадить туда трояна.

                          тут
                          Nick_Shl, это мои домыслы или нет?
                            0
                            По интернету гуляет схема USB киллера, выглядящего как флэшка, но представляющего из себя генератор высокого напряжения, выжигающий материнку при подключении к компу. Встроить такое в телефон и пусть проверяют )
                              +1
                              И получить штраф. Гениальность-сама. Кроме того, есть специальные тестеры, через какие можно безопасно подключать недоверенные устройства.
                                +4

                                Так просто не пропустят и в будущем не одобрят запросы на визу. Стоит ли это того?

                                  +4
                                  Или не выпустят. Виза не понадобится.
                                  –1
                                  А если интереснее: data-пин на USB-разъёме отломать.
                                  То есть, через USB телефон заряжается, но обмен данными невозможен.
                                    0
                                    Ну а чо? Телефон старый, разъём забился грязью. Я не пользуюсь вашими компьютерными штучками, и вообще не знал что кабель не работает. Заряжается — а больше мне и не надо.
                                +1
                                Видел недавно эту тему, но программка там называлась Jingwang Weishi:
                                en.wikipedia.org/wiki/Jingwang_Weishi, opentech.fund/news/app-targeting-uyghur-population-censors-content-lacks-basic-security и даже кто-то высказал идею на счёт: кнопочных телефонов
                                  +2
                                  У меня сложилось мнение что мобилки/ноуты вообще лучше зачищать при путешествиях за границу, мало ли какие нюансы законодательств в кэшах всплывут :)
                                    0

                                    Если вас будут досматривать, то вас просто попросят ввести пароль. Очевидно, что для многих девайсов многие службы знают как обойтись и без пароля. Откажетесь вводить пароль — вас или просто не пустят (это в приличном месте) или засунут в лагерь к уйгурам для перевоспитания. Скрытые разделы и архивы с двойным дном достаточно легко определяются тоже

                                      0
                                      Зачищать, а не защищать.
                                      Скрытые разделы и архивы с двойным дном достаточно легко определяются тоже
                                      Легко или требуют 100500 человекочасов ручного труда?
                                        0
                                        Легко или требуют 100500 человекочасов ручного труда?

                                        Факт их существования — полностью автоматически. Этого достаточно для подозрений. А дальше уже зависит от интереса к вашей персоне — от вас либо потребуют расшифровать, либо молча развернут обратно, либо начнут разрабатывать обычными полицейскими методами.

                                          0
                                          Факт их существования — полностью автоматически.
                                          Проверять каждый из 100500 файлов? Во всех 32/64/128/… гигабайтах?
                                            +1

                                            Почему нет? Обычный антивирус примерно тоже самое делает. Это же вам надо границу пройти, вот и подождёте, куда вы денетесь.
                                            Согласно заметке китайцы даже оборудование своё не используют — установили апп и ваш телефон сам в себе будешь подозрительное искать, а потом полицейскому все расскажет. С них только зарядка

                                              0
                                              Обычный антивирус примерно тоже самое делает.
                                              Что именно делает? Антивирус — довольно примитивная программа, считающая хеши. Достаточно немного поменять хеш и антивирус уже ничего не найдёт. И потом, сколько занимает сканнирование антивирусом при полном переборе файлов? Неделю? Месяц? Плюс не следует забывать, что антивирус читает не каждый файл.
                                            0
                                            Факт их существования — полностью автоматически
                                            Поясните. У меня есть mkv-файл корректной структуры, декодирующийся в некоторое «видео», которое при чтении как raw data оказывается зашифрованным файлом. Какой алгоритм это возьмёт, без предварительных знаний, которые я здесь выложил?
                                              0
                                              forensic софт вполне себе найдет во всех возможных контейнерах, не важно что там у вас матроска, мп3 или rarjpeg
                                                +1
                                                Какой магией он для этого пользуется?
                                          0
                                          Скрытый раздел в truecrypt неотличим от неразмеченной области.
                                            +1

                                            Это в сферическом вакууме. Если скрытый раздел использовался хоть раз, то в операционной системе и приложениях останутся ссылки на файлы из скрытого контейнера, форенсики знают где искать. Если вы аккуратно почистили, останутся признаки такой деятельности. Даже если нет, разные меры энтропии информации в неразмеченном пространстве со скрытым контейнером отличается от нормального. И да, китайцам не жалко времени (и вашего девайса). И на крайний случай ещё один факт — погранцы в Китае известны тем, что во время "анализа", удаляют временные файлы, очищают кэши и забивают свободное пространство нулями.

                                              –1
                                              Ну, если уж делать скрытый раздел, то можно делать и скрытую ОС.
                                              Даже если нет, разные меры энтропии информации в неразмеченном пространстве со скрытым контейнером отличается от нормального.

                                              Против этого работает скрытый том в зашифрованном томе.
                                        +2

                                        Учитывая особености региона, сложно сказать что удивило журналистов. Я так понимаю такая петрушка там уже не первый год.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое