Диванная аналитика №92. заводской вирус в смартфоне или планшете, откуда и как?

      Комментарии к записи Диванная аналитика №92. заводской вирус в смартфоне или планшете, откуда и как? отключены

Привет.

Не секрет, что троянские программы и вирусы, что смогут похитить вашу данные, в далеком прошлом облюбовали персональные компьютеры, но на планшетах и смартфонах они не так распространены, а минимальные правила информационной безопасности разрешают избежать заражения и каких-либо утрат. Но тут имеется одна оговорка, иногда вы уже получаете устройство с сюрпризом, его firmware возможно заражена зловредной программой, которая попортит вам жизнь или мало на вас получит, а вы об этом ровным счетом ничего не определите.

Дабы осознавать обстоятельства появления таких программ и прошивок, нужно осознать экономическую модель тех, кто хочет заразить ваше устройство, постоянно следует искать финансовый след. Время социопатов, желающих навредить вторым легко из нелюбви, в далеком прошлом прошло или еще не наступило.

В большинстве случаев, везде прослеживаются коммерческие интересы, каковые легко понять, как следствие, они поддаются логике, и вероятно защититься от таких историй, будь вы клиентом, производителем либо легко заинтересованной стороной. В этом материале на конкретном примере я попытаюсь растолковать, как трудится данный кусочек рынка.

расхождение и Антивирусные компании в определениях вредных программ

Производители противовирусных продуктов грезят о том, как захватить рынок мобильных устройств, прежде всего смартфонов. Кое-какие компании договариваются с производителями, и их продукты предустанавливают на фабриках, это бесплатные либо условно-бесплатные предположения, ограниченные по времени работы.

Иначе, производители устройств пробуют получить не только на железе, но и на софте, к примеру, устанавливая дополнительные программы, в то время, когда устройство находится на руках у клиента. В зависимости от степени приличия производителя это смогут делать, задавая вопросы разрешения у пользователя, или и вовсе без его ведома.

Во втором случае установка дополнительных программ происходит как будто бы по волшебству, вы засыпаете вечером, дабы утром заметить в вашем смартфоне игры либо приложения, каковые вы точно не ставили. Но они показались в том месте самостоятельно. Кроме этого иногда вам смогут показывать необычную рекламу, вы не осознаёте, откуда она взялась, и грешите на левый софт либо посещение каких-то страничек в сети, не смотря на то, что все эти окна вам демонстрирует ваше устройство, зараженное с самого начала собственной жизни.

Формула «одно приложение – один американский доллар» в далеком прошлом не работает, расценки разнятся от страны к стране, время от времени требуется не только установить приложение, но дабы пользователь его открыл, иногда не только открыл, но что-то сделал в нем. Но в любом случае за установки платят, и это смогут быть большие суммы, в случае если тираж вашего устройства образовывает от ста тысяч штук и выше.

За год на тираже в сто тысяч штук возможно с легкостью взять дополнительные 100-150 тысяч американских долларов, каковые нежданно «упадут» на вас. Как вы видите, искушение для производителей устройств весьма громадно, поскольку это шальные деньги. И чем наглее действует производитель, тем больше денег он может взять. Играя честно , тут не дотянуться солидных сумм, поскольку люди нехотя реагируют на рекламу и не загружают те приложения, что им предлагаются.

Лишь пропихивание приложений насильно формирует нужную тягу, и производитель видит какие-то деньги.

Противовирусные компании расходятся в определениях некоторых вирусов, давайте разглядим это на свежем примере. В «Доктор Web» нашли вредоносные программы, что были установлены на десятках планшетов и смартфонов на Android, о чем сообщили в пресс-релизе.

Диванная аналитика №92. заводской вирус в смартфоне или планшете, откуда и как?

Маленький перечень устройств выглядит следующим образом:

  • MegaFon Login 4 LTE
  • Irbis TZ85
  • Irbis TX97
  • Irbis TZ43
  • Bravis NB85
  • Bravis NB105
  • SUPRA M72KG
  • SUPRA M729G
  • SUPRA V2N10
  • Pixus Touch 7.85 3G
  • Itell K3300
  • General Satellite GS700
  • Digma Plane 9.7 3G
  • Nomi C07000
  • Prestigio MultiPad Wize 3021 3G
  • Prestigio MultiPad PMT5001 3G
  • Optima 10.1 3G TT1040MG
  • Marshal ME-711
  • 7 MID
  • Explay Imperium 8
  • Perfeo 9032_3G
  • Ritmix RMD-1121
  • Oysters T72HM 3G
  • Irbis tz70
  • Irbis tz56
  • Jeka JK103

Обратите внимание, что на первой строке операторский продукт – Megafon Login 4 LTE, это планшет, что по заказу российского оператора выпустила компания ZTE, оба партнера являются огромными корпорациями, смотрящими за качеством собственных продуктов. В перечне кроме этого имеется планшет Oysters T72HM 3G, это тот самый планшет для водителя, что продавался и продается в МегаФон Ритейл и имеет громадный тираж.

Одним словом, это не самые незначительные для русского рынка продукта, они имеют в собственных сегментах заметную долю рынка, реализованы большими тиражами. В этот самый момент «Доктор Web» обнаруживает, что они заражены вредоносной программой Android.DownLoader.473.origin. Как такое имело возможность случиться?

И что делает эта программа?

Давайте процитирую противовирусную компанию с объяснением вреда от данной программы:

«Android.DownLoader.473.origin является троянцем -загрузчика, что начинает работу при каждом включении зараженного устройства. Вирус отслеживает активность Wi-Fi-модуля и по окончании обнаружения сетевого подключения соединяется с управляющим сервером, откуда приобретает конфигурационный файл с заданием. В этом файле содержится информация о приложении, которое троянцу нужно скачать.

По окончании загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает.

Практически по команде преступников троянец способен скачивать на зараженные устройства любое ПО. Это смогут быть как безобидные, так и нежелательные либо кроме того вирусы. К примеру, Android.DownLoader.473.origin деятельно распространяет рекламное приложение H5GameCenter, которое было добавлено в вирусную базу Dr.Web как Adware.AdBox.1.origin. По окончании установки оно показывает поверх всех трудящихся программ маленькое изображение коробки, которое нереально убрать с экрана.

Оно является ярлыком , при нажатии на что Adware.AdBox.1.origin открывает встроенный в нее каталог ПО. Помимо этого, эта нежелательная программа показывает рекламные баннеры».

Обратите внимание, что Яндекс в Российской Федерации есть главным клиентом баннеров в вредоносных программах, русский компания не гнушается трафиком из любых мест, тем более что такая реклама стоит дешевле, чем ее приобретение в приличных местах. Особенную пикантность таковой рекламе придает тот факт, что довольно часто Яндекс.Браузер уже предустановлен на этих устройствах. Но на данный момент не об этом.

В «Касперском» прокомментировали находку «Доктор Web» следующим образом:

«Согласно данным «Лаборатории Касперского», указанное приложение в конечном итоге не есть вирусом и не владеет страшными для его информации и пользователя функциями, исходя из этого отечественное защитное ответ не детектируют его. Это приложение есть рекламным ПО, удаление которого остается на усмотрение обладателя устройства. Детектирование рекламного ПО может повлечь за собой удаление нужных пользователю законных программ, и излишнюю активность защитного ответа в то время, в то время, когда опасности нет».

Как вы видите, у каждого собственная действительно, одна компания уверен в том, что ничего нехорошего в этом софте нет, вторая пробует назвать его трояном. Факт содержится в том, что подобный софт недопустим по одной причине – он без ведома пользователя показывает ему рекламу, устанавливает программы, и его нельзя удалить никакими штатными средствами. Путь для лечения от данной программы – создание новой firmware производителем и заливка ее по воздуху либо в сервисном центре.

Не знаю, как вы, но я, получая устройство, не ожидаю, что оно будет самостоятельно что-то устанавливать в память либо показывать мне рекламу. Это недопустимое поведение. Но из-за чего так происходит и кто виноват, что в firmware показался троян либо вирус, пускай и достаточно безвредный, он все-таки не крадёт ваши деньги либо не портит устройство.

Как программы-загрузчики появляются в Android-устройствах

В Китае существуют десятки фабрик, что производят смартфоны и планшеты, какие-то фабрики огромны и принадлежат громадным корпорациям, какие-то помещаются в маленьком строении и перебиваются маленькими заказами. У каждого производства отличается не только размер, но и культура производства, доступ к новым разработкам, лабораториям Гугл и других производителей, к примеру, компонентов для устройств. В совершенном случае производство Android-устройства выглядит следующим образом:

  • Создание референсной платформы, проверка драйверов у производителей чипсета, так поступают альфа-партнеры;
  • Проверка софта и железа в сертифицированных Гугл лабораториях, что есть частью договора MADA и категорически нужно для получения GMS-лицензии.

Намерено отмечу, что проверка от Гугл включает в себя не просто сертификацию железа для смартфона либо планшета, вместе с тем сертификат на конкретный софт, в котором проверяется наличие вредоносного кода, плюс фиксируется размер firmware. Отклонения от указанного размера firmware воспринимаются при производстве как нарушение договора, и требуется вторичная проверка, устройство смогут признать «странным», тогда имеется механизмы определения, заражено оно либо нет, в Гугл начинают внимательно смотреть за ним. Непременно, все это делают не люди, а программы.

Себестоимость устройства зависит от многих составляющих, но та же проверка в лаборатории от Гугл стоит 10-15 тысяч американских долларов, это минимальная сумма. Многие компании стараются сэкономить эти деньги, а многие китайские производители не имеют никаких взаимоотношений с Гугл. Исходя из этого довольно часто Play Market и другие сервисы от Гугл ставят в обход GMS-лицензии, что не дешевле с позиций тестов, но такие фабрики дают меньшую цена за собственные продукты.

Чем оптимален пример от МегаФона, так это тем, что в планшете МегаФон Login 4 LTE мы видим хорошую работу ZTE, они имеют сертификацию Гугл и тестировали собственный ответ, а вот в продукте от Oysters получение и путь экономии GMS-сервисов кривым методом, минуя Гугл. Но итог оказался в итоге одинаковый, как это случилось?

Давайте взглянуть на планшет от ZTE и вероятный путь заражения. Firmware для устройства создавалась ZTE под требования МегаФона, она тестировалась оператором и компанией, скрытого софта и никаких проблем распознано не было. После этого перед производством планшетов firmware поступает на завод, где происходит установка на устройства.

На сборочной линии firmware ставится на отдельном участке, образ firmware не загружается централизованно, он переносится инженером на компьютеры, их число может варьироваться в зависимости от числа применяемых линий. В большинстве случаев, это один-два инженера, каковые не приобретают солидных заработных платов. В Китае довольно легко подкупить этих людей, и за сумму в 1 500-2 000 долларов они готовы дать вам образ firmware, а после этого, получив от вас поменянный образ, установить его на компьютеры, что несут ответственность за прошивку.

Главная неприятность содержится в том, что при производстве не проверяется контрольная сумма заливаемого файла, это относится большинства фабрик, исключения скорее подчеркивают это правило. Клиент кроме этого не контролирует контрольную сумму firmware, считается, что по окончании одобрения «золотого примера» все зафиксировано и тратить время на дополнительные работы не нужно. Чем отличаются Samsung и Apple от множества вторых компаний?

Тем, что они контролируют контрольные суммы файлов, что заливаются на их устройства на фабриках. Попытки установить вредоносный софт на их телефоны происходят с изрядной периодичностью, но этого не случается, поскольку имеется дополнительный уровень защиты. А наказание на том же Hon Hai за такие действия такое, что лучше вам об этом и не знать, старожилы говорят весьма ужасные истории, в которых виновных наказывают с воистину китайской изобретательностью.

Но так как в теории МегаФон как получатель этого товара обязан контролировать, что именно он ставит на полки? В теории все как раз так, на практике – с точностью до напротив. Оператор не есть поставщиком этого товара, он применяет партнера, что всецело несёт ответственность за все вероятные недостатки с товаром.

Партнеры подбираются шепетильно, и они должны соответствовать определенным требованиям. При происхождении любой неприятности, к примеру, при обнаружении «лишних» программ в софте, партнер несет прямую материальную ответственность и обязан не только урегулировать вопросы, что может стоить миллионов американских долларов, но компенсировать затраты оператора, что увеличивает суммы выплат до небес.

Строгие условия договора в теории делают любую попытку поставить левый софт обреченной, для поставщика это смерти подобно. Однако, мы видим, что это случилось с двумя различными компаниями. И опять появляется вопрос, из-за чего.

Для ZTE это первая история для того чтобы масштаба, практически уверен, что это произошло по обрисованному выше сценарию, другого варианта просто не вижу. С Oysters обстановка более необычная, на их устройствах трояны выявляют более-менее неизменно, к примеру, в 2015 году тот же «Доктор Web» обнаружил Oysters T104 HVi 3G троян Android.Backdoor.114.origin. Для меня остается тайной за семью печатями, как с таким историей троянов и послужным списком компанию выбирают для массовых поставок без дополнительного и тщательного контроля за тем, что они делают.

В некоторых компаниях появление таких программ-загрузчиков – это осознанный ход, монетизация аудитории. Для некоторых производителей это неожиданность, поскольку техническая проверка устройств по окончании выпуска отсутствует либо не видит в упор неприятностей, не имеет соответствующего инструментария, а на сертификацию в лаборатории от Гугл устройства не отдает. Одним словом, прошляпить проблему весьма легко.

Практически, это детские неточности, с которыми возможно столкнуться один раз и позже уже не наступать на эти грабли ни при каких обстоятельствах, поменяв регламент работы с фабриками да и то, как вы контролируете продукты. В случае если эта история повторяема, то возможно утверждать, что кто-то на ней очень сильно греет руки.

Цена вопроса, как исправляют такие неточности

В первую очередь я связался с МегаФоном и взял вот таковой ответ от пресс-службы по обстановке с двумя планшетами: «Мы связались с производителями планшетов (ZTE и Oysters). Эксперты этих компаний в лабораторных условиях удостоверились в надежности устройства, дабы установить, вправду ли имел место факт заражения вредоносным ПО и в случае если да, то в каком количестве и на какой стадии производства. Подобные случаи в мире, к сожалению, не редки.

В большинстве случаев компании-производители оперативно производят обновления ПО, каковые и ликвидируют подобные неточности. Вендоры нам подтвердили, что обновления совокупности для обоих устройств готовься в самое ближайшее время».

Ответ максимально нейтральный, но и устройства остались лишь в нескольких регионах на полках, а появление софта решает эту проблему. В то время, когда? Неизвестно. обновления создания устройств и Стоимость прошивки по воздуху ложится на вендоров (ZTE и Oysters), цена данной операции мала, до 10 000 долларов за новую прошивку (в ZTE цена вовсе нулевая, поскольку вендор имеет соответствующий отдел в себя).

Но это лишь , если обновление firmware вероятно по воздуху. К примеру, в случае если такое обновление по воздуху нереально, то возможно посчитать убытки поставщика на сервис. Логистика от точки продаж до сервиса и обратно, цена обновления firmware. На одно устройство это составит минимум 1 000 рублей, настоящая цена будет вероятнее выше.

В случае если высказать предположение, что у вас не реализовано порядка 40 000 устройств, то цена исправления неприятности – 40 000 000 рублей. Плюс, быть может, кто-то из клиентов для того чтобы устройства захочет его сдать либо перепрошить за счет вендора, убытки возрастут. Подобный количество затрат может довести маленького вендора до банкротства и разорения.

Обрисованная история для рынка обычна и настояща, она ставит пара вопросов, каковые упускают из вида как маленькие компании, так и операторы. Контроль качества, а также касаемо софта уже по окончании производства, выборочные испытания поставок. Жесткость договора производителя с фабрикой, равно как и оператора с поставщиком, не гарантирует отсутствия неприятностей, надеяться лишь на контракт, в котором прописаны строгие санкции, наивно.

Обычно неприятность появляется из-за отсутствия контроля и организации производства, а преступникам все равно, что будет происходить в правовом поле, привлечь их к ответственности нереально. Для клиентов это лишний предлог задуматься о том, что не все планшеты и смартфоны одинаково хороши, не во всех неприятности при обнаружении будут исправляться, и оперативно. В то время, когда люди показывают, что все Б-бренды однообразны, меня это честно печалит.

У них смогут быть продукты, каковые кажутся однообразными, но по факту они отличаются как земля и небо. А при однообразной либо сравнимой стоимости так и вовсе весьма разны (уровень качества сборки, уровень качества локализации, сервис и без того потом). Исходя из этого пользователь не избавлен от того, дабы придирчиво выяснять подноготную производителей, в другом случае вы взять то либо иное устройство с сюрпризами различного толка.

Уверен, что в том же МегаФоне по результатам данной истории будет переработана схема работы с поставщиками и проверки софта устройств, дабы избежать повторения. Это первенствовали грабли, они случаются у всех.

До тех пор пока на рынке приложений имеется компании, что готовы платить за установки, постоянно будут пребывать те, кто будут договариваться на фабриках о том, дабы каталоги приложений, автозагрузчики и второй подобный софт оказались в прошивках, обычно без информирования производителя. Это история про то, как возможно приобретать деньги из воздуха и на чужом товаре. В том же Google собираются предпринять последовательность шагов, дабы оградить пользователей Android от аналогичных вещей, но пока на практике этого не видно.

Посмотрим, как они поменяют собственную политику в 2017 году, данный вопрос назрел, и, как мне известно, в Google уже его шепетильно проработали. Будут показательные порки компаний и отдельных продуктов.

Интересные записи:

Проверка Аndroid на вирусы


Еще немного статей: