Z racji tzw. "przyczyn obiektywnych" konieczna była dłuższa przerwa w pisaniu, dlatego dziś zaczniemy nadrabiać zaległości. 15 Listopada 2016 roku androidowym światkiem wstrząsnęła informacja o wykryciu "chińskiego oprogramowania szpiegowskiego" w telefonach oferowanych w USA, m.in. za pośrednictwem Amazona. W związku z aferą najczęściej przewijała się nazwa amerykańskiej firmy BLU, choć w materiałach prasowych pojawiały się również bardziej znane marki, takie jak ZTE oraz Huawei.
Sprawa nie jest jednak na tyle prosta, żeby można było po prostu stwierdzić: "chińskie smartfony szpiegują użytkowników", choć jest z pewnością całkiem spore grono osób, dla których takie słowa byłyby potwierdzeniem oczywistości. Chińczycy weszli na rynek mobilny z wielkim impetem, oferują produkty technicznie oraz jakościowo zbliżone do produktów znanych i szanowanych marek, takich jak Samsung, Sony, czy Motorola i konkurują z nimi głównie za pomocą niskich cen. Symbolem tej strategii jest "Zabójca flagowców" OnePlus, który wdarł się przebojem na rynek telefonów, oferując telefon o "flagowych" parametrach za połowę ceny, jaką trzeba było zapłacić za Iphona czy Samsunga Galaxy S, inni producenci nie pozostają jednak daleko w tyle i Chińczycy co i rusz podbijają serca oraz portfele użytkowników na całym świecie kolejnymi modelami, których "grzechem byłoby nie kupić".
W takiej sytuacji wiele osób próbuje znaleźć przysłowiową "dziurę w całym", a skoro coraz trudniej przypisać sprzętowi "made in China" niską jakość wykonania, ciężar krytyki przenosi się na obszar bezpieczeństwa danych. Dlatego każda informacja dotycząca choćby potencjalnego szpiegowania użytkowników, jest przez wielu witana z radością. Trzeba tu jednak uczciwie przyznać, że Chińczycy czasem ułatwiają swoim przeciwnikom to zadanie.
Tak też stało się i tym razem. Choć firma BLU jest firmą amerykańską, to jej model biznesowy, w największym skrócie, opiera się na "brandowaniu" chińskich "no name'ów", czyli mówiąc po ludzku - naklejaniu swojego znaku firmowego na telefony składane tanim kosztem w Państwie Środka.. O ile jednak BLU zadbało o jakość techniczną sprowadzanego sprzętu, to najwyraźniej zaniedbali kwestię jego oprogramowania. Android sam w sobie jest systemem udostępnianym na zasadzie "open source" i wykorzystać może go każdy, ale pozostaje jeszcze kwestia Usług Google i specyficznych relacji pomiędzy amerykańskim gigantem a Chinami oraz chińskimi producentami.
W przypadku BLU okazało się, że ich telefony zawierały nieautoryzowany przez Google system aktualizacji oprogramowania opracowany przez Shanghai Adups Technology Co. Ltd, który m.in. ściągał listę połączeń oraz SMSy użytkowników na chińskie serwery. Analiza firmay Kryptowire, dokonana na kilku modelach telefonów, w tym BLU R1 HD, wykazała oprogramowanie Adups nie tylko automatycznie ściąga prywatne informacje z telefonów, ale mając uprawnienia administratora może zostać użyty do zdalnego dokonywania dowolnych zmian w systemie operacyjnym, tj. np. instalowania bądź usuwania dowolnych aplikacji z dowolnymi uprawnieniami bez zgody i wiedzy użytkownika. Ponadto, jako aplikacja systemowa umieszczona w telefonie przez producenta, jest standardowo ignorowana przez wszelkie oprogramowanie antywirusowe. Nie ma co prawda dododów na jakiekolwiek nadużycia, jakich dokonano za pomocą Adups, ale BLU natychmiast po opublikowaniu wsztstkich tych informacji wycofało swoje telefony ze sprzedaży, a dziś oprogramowanie jego telefonów jest już całkowicie licencjonowane przez Google i dodatkowo kontrolowane przez Kryptowire.
Wnioski z całej tej historii płyną przynajmniej takie, że należy uważać na telefony firm, które nie produkują własnego sprzętu, a jedynie sprowadzają go z Chin i firmują własnym logiem - dotyczy to także producentów "polskich" telefonów. Trzeba też uważać na telefony sprowadzane bezpośrednio z Chin, które można w bardzo atrakcyjnych cenach znaleźć na wielu zerwisach aukcyjnych, takich jak ebay, czy w sklepach internetowych. Oprogramowanie modeli znanych i cenionych marek dla państw Zachodu i Chin może się diametralnie różnić. Jak widać oszczędzanie na VAT i marży dystrybutora niekoniecznie jest opłacalne. Jak zawsze, trzeba także pamiętać, że żadnego sprzętu elektronicznego, mającego dostęp do internetu, nie można dziś obdażać bezgranicznym zaufaniem, szczególnie, że Adups szczyci się obecnością swego oprogramowania na ponad 700 milionach urządzeń na całym świecie.
Z resztą - nie musimy wcale padać ofiarami celowej kradzieży naszych prywatnych danych - zdaża się bowiem, że niechlujstwo producentów sprzętu i oprogramowania wystawia nas na niemniejsze niebezpieczeństwo. Nie opadł jeszcze kurz po aferze Adups, a nieszczęsne BLU zaliczyło kelejną potężną wpadkę - w oprogramowaniu jego sprzętu wykryto kolejny "backdoor", przez który można było zdalnie instalować programy z uprawnieniami administratora, bez wiedzy i zgody użytkownika. Tym razem okazało się, że podczas rozruchu systemu urządzenie próbuje nawiązać połączenie z trzema adresami internetowymi, z których jeden należał do producenta oprogramowania, chińskiej firmy Ragentek, a dwa pozostałe... w ogóle nie miały właściciela. Firma BitSight, która wykryła tę lukę w zabezpieczeniach, zarejestrowałą obydwa oadresy na siebie i za ich pomocą wprowadziła do testowego egzemplarza telefonu BLU Studio G plik z uprawnieniami roota. Zadanie dodatkowo ułatwiło to, że komunikacja z adresów zapisanych w samym systemie operacyjnym nie wymagała ani szyfrowania, ani żadnych certyfikatów, a więc dowolne pliki na telefony z oprogramowaniem Ragentek mógł przesłać każdy, kto miał dostęp do "uprzywilejowanych" adresów.
Specjaliści z BitSight twierdzą, że problem dotyczy ok. 3 milionów urządzeń na całym świecie, pochodzących głównie od "egzotycznych" producentów, takich jak DOOGEE, LEAGOO, czy Infinix, co do których można mieć poważe wątpliwości, że zadadzą sobie trud zaktualizowania oprogramowania tak, aby załatać rzeczoną dziurę. Także chiński producent systemów operacyjnych, Ragentek, nie odniósł się do informacji BitSight. Departament Bezpieczeństwa Wewnętrznego USA (Homeland Security) zasponsorował przynajmniej publikację listy telefonów, na które należy uważać:
- BLU Studio G
- BLU Studio G Plus
- BLU Studio 6.0 HD
- BLU Studio X
- BLU Studio X Plus
- BLU Studio C HD
- Infinix Hot X507
- Infinix Hot 2 X510
- Infinix Zero X506
- Infinix Zero 2 X509
- DOOGEE Voyager 2 DG310
- LEAGOO Lead 5
- LEAGOO Lead 6
- LEAGOO Lead 3i
- LEAGOO Lead 2S
- LEAGOO Alfa 6
- IKU Colorful K45i
- Beeline Pro 2
- XOLO Cube 5.0
Osoby posiadające jakiś "chiński wynalazek" powinny również sprawdzić, czy ich urządzenie nie próbuje się łączyć z którymś z tych adresów:
oyag[.]lhzbdvm[.]comoyag[.]prugskh[.]netoyag[.]prugskh[.]com
Analitycy bezpieczeństwa bardzo przychylnie dla Ragenteka uznali, że powyższe adresy były uczciwie zarezerwowane tylko do aktualizacji systemu, a rejestrację dwóch z nich zwyczajnie "przeoczono", ale trzeba uczciwie przyznać, że takie rzeczy w ogóle nie powinny się zdarzać, a jeśli jakiemuś producentowi się zdarzły, to chyba lepiej się od niego trzymać z daleka.
Komentarze