Закладки разложили по трубкам

В кнопочных телефонах нашли незадекларированные функции

Кнопочные телефоны ряда российских брендов, которые продают в сетях российских ритейлеров, обладают незадекларированными функциями: 80% устройств, например, отправляют платные СМС или позволяют регистрировать сторонних лиц в интернет-сервисах. Проблема, по словам экспертов, характерна для брендов, которые экономят на подрядчиках и не всегда контролируют конечную продукцию на предмет «закладок». Такие устройства, по их словам, могут использоваться преступниками или включаться в ботнет-сети.

Рисунок: Виктор Чумачев, Коммерсантъ

Рисунок: Виктор Чумачев, Коммерсантъ

Пользователь сайта Habr протестировал кнопочные телефоны, которые продаются в российской рознице, и опубликовал результаты исследования, с которыми ознакомился “Ъ”. Из него следует, что четыре из пяти устройств содержат незадекларированную функциональность.

Речь идет о «закладках» в прошивке, которые позволяют, например, рассылать СМС на платные номера, перехватывать входящие сообщения и выходить в интернет без ведома пользователя.

Так, например, модель SF63 российского бренда Irbis может использовать номера телефонов для регистрации сторонних лиц в интернет-сервисах, а Dexp SD2810 сети магазинов DNS отправляет СМС-сообщения на платные короткие номера. Устройства бренда F+ автоматически и незаметно для пользователя отправляют СМС-сообщения на определенный номер с информацией о номере устройства и сим-карте.

В компании «Ф-Плюс Мобайл» “Ъ” сообщили, что, если получают «обращения пользователей по поводу каких-либо багов, исправляют их в следующих прошивках». В DNS и Irbis не ответили на запросы.

Продажи кнопочных телефонов в России в первом полугодии неожиданно выросли, говорят ритейлеры, хотя в последние годы стабильно снижались (см. “Ъ” от 23 июля). По данным «Связного», за этот период их было продано 3,1 млн, что на 6,7% больше, чем за тот же период 2020 года. В денежном выражении продажи увеличились на 18,8%, до 4,5 млрд руб.

Большинство кнопочных телефонов могут содержать уязвимости, которые приведены в статье на Habr, подтвердил эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.

Такие проблемы преимущественно характерны для телефонов малоизвестных брендов, полагает директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов: «Часто компании, которые выходят на рынок кнопочных телефонов, в целях экономии обращаются к малоизвестным разработчикам прошивки, и их недобросовестные сотрудники могут включить в код недекларированные функции». Модификации прошивок с отправкой СМС могут быть заказом от владельцев сервисов подписок, отмечает ведущий инженер СorpSoft24 Михаил Сергеев.

Устройства собираются в Китае, а производители не всегда проводят контроль конечной продукции на предмет подобных уязвимостей, поэтому мошенникам несложно договориться о модификации телефонов из низшего ценового сегмента на этапе сборки, отмечает глава отдела кибербезопасности SearchInform Алексей Дрозд. Для борьбы с незадекларированными возможностями заказчикам нужно усилить контроль конечной продукции, а производителям — выпустить обновление прошивки.

Устройства с «закладками» используются для предоставления доступа к телефонным номерам различных стран, в том числе для получения двухфакторной авторизации при регистрации аккаунтов, например, в мессенджерах, говорит Виктор Чебышев. Они могут применяться, например, для распространения наркотиков или спама. Не исключено, что такие устройства собираются в ботнет-сети, допускает эксперт.

По его словам, механизмы защиты абонентов от таких случаев есть: пользователям достаточно отключить мобильный интернет и платные подписки на той сим-карте, которая будет работать в кнопочном телефоне.

Кроме того, у операторов есть набор инструментов для блокировки доступа девайсов к центрам управления и возможность искать аномалии, например, когда 10 тыс. устройств обратились по одному адресу или отправили какую-то СМС, отмечает господин Чебышев. Чтобы снизить риск получения «модифицированного телефона», необходимо покупать его у официального дилера с сертификацией «Ростеста», рекомендует Михаил Сергеев, а также периодически проверять детализацию счета у провайдера.

После выхода материала в DNS сообщили, что признают наличие проблемы и ещё 1 сентября начали компанию по отзыву для обслуживания данных продуктов. «Также мы проведём подробное расследование данного инцидента. Приношу извинения всем нашим клиентам за неудобства»,— добавил гендиректор компании Дмитрий Алексеев.

Юлия Степанова

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...