Кнопочные телефоны ряда российских брендов, которые продают в сетях российских ритейлеров, обладают незадекларированными функциями: 80% устройств, например, отправляют платные СМС или позволяют регистрировать сторонних лиц в интернет-сервисах. Проблема, по словам экспертов, характерна для брендов, которые экономят на подрядчиках и не всегда контролируют конечную продукцию на предмет «закладок». Такие устройства, по их словам, могут использоваться преступниками или включаться в ботнет-сети.
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
Пользователь сайта Habr протестировал кнопочные телефоны, которые продаются в российской рознице, и опубликовал результаты исследования, с которыми ознакомился “Ъ”. Из него следует, что четыре из пяти устройств содержат незадекларированную функциональность.
Речь идет о «закладках» в прошивке, которые позволяют, например, рассылать СМС на платные номера, перехватывать входящие сообщения и выходить в интернет без ведома пользователя.
Так, например, модель SF63 российского бренда Irbis может использовать номера телефонов для регистрации сторонних лиц в интернет-сервисах, а Dexp SD2810 сети магазинов DNS отправляет СМС-сообщения на платные короткие номера. Устройства бренда F+ автоматически и незаметно для пользователя отправляют СМС-сообщения на определенный номер с информацией о номере устройства и сим-карте.
В компании «Ф-Плюс Мобайл» “Ъ” сообщили, что, если получают «обращения пользователей по поводу каких-либо багов, исправляют их в следующих прошивках». В DNS и Irbis не ответили на запросы.
Продажи кнопочных телефонов в России в первом полугодии неожиданно выросли, говорят ритейлеры, хотя в последние годы стабильно снижались (см. “Ъ” от 23 июля). По данным «Связного», за этот период их было продано 3,1 млн, что на 6,7% больше, чем за тот же период 2020 года. В денежном выражении продажи увеличились на 18,8%, до 4,5 млрд руб.
Большинство кнопочных телефонов могут содержать уязвимости, которые приведены в статье на Habr, подтвердил эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
Такие проблемы преимущественно характерны для телефонов малоизвестных брендов, полагает директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов: «Часто компании, которые выходят на рынок кнопочных телефонов, в целях экономии обращаются к малоизвестным разработчикам прошивки, и их недобросовестные сотрудники могут включить в код недекларированные функции». Модификации прошивок с отправкой СМС могут быть заказом от владельцев сервисов подписок, отмечает ведущий инженер СorpSoft24 Михаил Сергеев.
Устройства собираются в Китае, а производители не всегда проводят контроль конечной продукции на предмет подобных уязвимостей, поэтому мошенникам несложно договориться о модификации телефонов из низшего ценового сегмента на этапе сборки, отмечает глава отдела кибербезопасности SearchInform Алексей Дрозд. Для борьбы с незадекларированными возможностями заказчикам нужно усилить контроль конечной продукции, а производителям — выпустить обновление прошивки.
Устройства с «закладками» используются для предоставления доступа к телефонным номерам различных стран, в том числе для получения двухфакторной авторизации при регистрации аккаунтов, например, в мессенджерах, говорит Виктор Чебышев. Они могут применяться, например, для распространения наркотиков или спама. Не исключено, что такие устройства собираются в ботнет-сети, допускает эксперт.
По его словам, механизмы защиты абонентов от таких случаев есть: пользователям достаточно отключить мобильный интернет и платные подписки на той сим-карте, которая будет работать в кнопочном телефоне.
Кроме того, у операторов есть набор инструментов для блокировки доступа девайсов к центрам управления и возможность искать аномалии, например, когда 10 тыс. устройств обратились по одному адресу или отправили какую-то СМС, отмечает господин Чебышев. Чтобы снизить риск получения «модифицированного телефона», необходимо покупать его у официального дилера с сертификацией «Ростеста», рекомендует Михаил Сергеев, а также периодически проверять детализацию счета у провайдера.
После выхода материала в DNS сообщили, что признают наличие проблемы и ещё 1 сентября начали компанию по отзыву для обслуживания данных продуктов. «Также мы проведём подробное расследование данного инцидента. Приношу извинения всем нашим клиентам за неудобства»,— добавил гендиректор компании Дмитрий Алексеев.