Edmund Richardson
0 
3595
268
Otključavanje novog pametnog telefona trebalo bi biti jedno od novih zadovoljstava tvrtke. Uklanjanje celofana, skidanje vrha s kutije i uključivanje netaknutih uređaja. Logotip čizme vrti se u svom živopisnom sjaju, dok telefon priprema svoj svježi operativni sustav.
Ali što ako nije baš tako škakljivo čisto? Pod tom svijetlom vanjštinom moglo bi se skrivati nešto zločešće. Kako se ispostavilo, postoje snažni dokazi da vam ipak nećete moći vjerovati potpuno novom Android telefonu.
Lanac napajanja potrošačke elektronike
Suvremeni proizvodni lanci opskrbe su komplicirani. Kao rezultat globalizacije, postoji svjetsko tržište za sve, od sirovina do gotovih proizvoda, a potrošačka elektronika se ne razlikuje. Jedan od najvećih proizvođača elektronike je Kina, gdje su mnoge zapadne tvrtke dale outsourcing proizvodnju od kada je njezina ekonomija počela rasti oko 1980-ih..
Kinezi su ujedno i najveći proizvođač silicija, vitalnog materijala u modernoj elektronici. Zemlja je odgovorna za proizvodnju većine potrošačke elektronike koja se koristi širom svijeta. Kineski uvoz u SAD iznosio je samo 2017. godine 189 milijardi dolara. Ovaj fenomenalan rast i dominacija na tržištu rezultirali su nedavnim trgovinskim ratom između SAD-a i Kine, pri čemu su obje zemlje nametale visoke tarife proizvodima jedni drugima tijekom 2018. godine.
Kreditna slika: omur12 / Depositphotos
Iako Kina kontrolira veliki udio proizvodnog lanca opskrbe, materijali i sastavljene komponente nabavljaju se širom svijeta. Iz tog razloga vaš Apple iDevice ima “Dizajniran u Kaliforniji. Sastavljeno u Kini” urezana na poleđini. U svom eseju iz 1958. godine “Ja, Olovka,” ekonomista Leonard Pročitajte detaljan složeni postupak potreban za proizvodnju jedne olovke, naizgled jednostavnog proizvoda koji se baca.
Rastegljiv i složen lanac opskrbe elektronikom znači da je točna sljedivost gotovo nemoguć zadatak.
Izrada Android pametnih telefona
Appleov zid-vrt znači da drže strogu kontrolu nad svojim proizvodnim procesom. Tvrtka je u prošlosti optužena za loše i nesigurne uvjete za svoje tvorničko osoblje, ali oni strogo kontroliraju proces.
Isto se ne može reći za Android uređaje.
Google pristupa praktičnom pristupu njihovom mobilnom operativnom sustavu. Budući da je Android s otvorenim kodom, proizvođači mogu s njim raditi gotovo sve što žele, a da ne plate ni cime. Za ovaj poslovni model zaslužan je poticanje Androida u glavni tok i njegova trenutna dominacija na tržištu.
Međutim, ovaj pristup ima i nekih nedostataka. Fragmentacija, spora ili ponekad nepostojeća ažuriranja i nereagirani ili neželjeni pokretači navesti samo neke. Svaki proizvođač i prijevoznik mogu prilagoditi dizajn hardvera i softvera svakog uređaja. Kao rezultat, na tržištu sada postoji mnogo različitih Android uređaja.
Kako se većina proizvodnog procesa vrši u Kini (zbog čega kupujete telefone izravno iz Kine. Zašto biste trebali kupovati svoju tehnologiju od Kine (i kako to sigurno učiniti)) zašto biste svoju tehniku trebali kupiti u Kini (i kako to učiniti Sigurno) Postoje dobri razlozi da se iz Kine kupuju tehnološki proizvodi i uređaji umjesto recimo Amazona. Evo što trebate znati ... postaje toliko popularno) tvornice će često sastavljati pametne telefone za više proizvođača. Čak se mogu izvoditi na istoj proizvodnoj liniji s promijenjenim samo markiranjem. To je dovelo do toga da mnogi uređaji dijele softver, komponente, a ponekad i cijeli gotov proizvod.
Ne možete vjerovati svom novom pametnom telefonu
Androidova otvorena priroda podnosi se zlonamjernom softveru na način na koji to Apple-ovi pažljivo odabrani uređaji ne čine. Iako je Google poduzeo korake u posljednjih nekoliko godina na poboljšanju sigurnosti platforme, loša praksa i isprepleteni opskrbni lanci proizvođača predstavljaju priliku zlonamjernim napadačima.
RottenSys zlonamjerni softver
Početkom 2018. Wi-Fi usluga na Xiaomi Redmi privukla je pažnju istraživača u Check Point Research (CPR). Nakon izvjesne istrage, ustanovili su da uopće ne nudi Wi-Fi usluge. Umjesto toga, zatražio je dugi popis osjetljivih Androidovih dozvola od kojih se nijedno nije odnosilo na Wi-Fi usluge.
Jedno od najznačajnijih odobrenja bilo je DOWNLOAD_WITHOUT_NOTIFICATION. Čini se da se aplikacija koristi ovim dopuštenjem za preuzimanje zloćudnog softvera s poslužitelja Command & Control (C&C) nakon neznatnog odgađanja kada je telefon prvo bio uključen. Zlonamjerni softver, poznat kao RottenSys, uspio se sakriti iz operativnog sustava pomoću okvira otvorenog koda nazvanog MarsDaemon kako bi se održavali procesi.
C&C poslužitelj dostavio je datoteke za zlonamjernu oglasnu mrežu, koju je lažno Wi-Fi usluga na telefonu tiho instalirala na telefonu. CPR je procijenio da napadači mogu zaraditi i do 115.000 dolara za svakih deset dana operacije. Istraživači su također pronašli dokaze da su napadači pripremali regrutovane uređaje na svoj botnet (što je botnet? Što je Botnet i je li vaše računalo jedan od dijelova? Što je Botnet i je li vaše računalo dio jednog? Boneti su glavni izvor zlonamjernog softvera, neželjenog softvera, neželjene pošte i drugo. Ali što je botnet? Kako nastaju? Tko ih kontrolira? I kako ih možemo zaustaviti?).
Istraga CPR-a utvrdila je da je veletrgovac elektronikom Tian Pai nosio gotovo polovicu zaraženih uređaja. Iako nisu otišli toliko daleko da su zaključili da je Tian Pai saučesnik, zaključili su da je zlonamjerni softver vjerojatno instaliran u nekom trenutku lanca opskrbe.
Zlonamjerni softver počeo se širiti u rujnu 2016., a do ožujka 2018. zarazio je gotovo pet milijuna uređaja širom svijeta. Srećom, uklanjanje RottenSys-a traje samo nekoliko sekundi - nakon što znate gdje ga možete pronaći. Ako se čini da vaš novi Android uređaj ima adware, idite na svoje postavke i uklonite bilo koju aplikaciju navedenu u CPR izvješću. Nakon što deinstalirate aplikaciju, RottenSys bi trebao nestati zajedno s njom.
Shanghai AdUps tehnologija
Naši pametni telefoni generiraju i pohranjuju puno osobnih i osjetljivih podataka. Posljednje što biste očekivali od svog potpuno novog pametnog telefona bilo bi mu da prikupi sve te podatke i pošalje ih na kineski poslužitelj svakih 72 sata.
Međutim, to su otkrili istraživači sigurnosne tvrtke Kryptowire u 2016. Dotični firmver viđen je na više Android uređaja prodanih u SAD-u, uključujući popularni BLU R1 HD. Kao rezultat zaobilaženja Androidovih dozvola, dobio je nesmetan pristup svim vašim podacima. Prema izvještaju, to uključuje:
“… Informacije o korisniku i uređaju, uključujući cijelo tijelo tekstualnih poruka, popise kontakata, povijest poziva s cijelim brojevima telefona, jedinstvene identifikatore uređaja, uključujući međunarodni identitet mobilne pretplatnice (IMSI) i međunarodni identitet mobilne opreme (IMEI).”
Također je mogla daljinski reprogramirati uređaje, instalirati aplikacije i prikupiti podatke Fine Location. Kryptowire je pratio sumnjivu aktivnost do kineske tvrtke Shanghai AdUps Technology. Tvrtka je rekla da je prikupljanje podataka bila pogreška, a firmver se koristio samo za pružanje ažuriranja. Međutim, radili su s američkom vladom, Amazonom, BLU-om i Googleom na uklanjanju špijunskog softvera.
Godinu dana kasnije, istraživači su otkrili da Shanghai AdUps i dalje koristi špijunski softver na Android uređajima. Većina sinkronizacije podataka bila je skrivena, a ne uklonjena. Nekoliko značajki isključeno je za uređaje u SAD-u, ali oni su ipak poslali podatke kineskoj tvrtki. Kryptowire je napomenuo da AdUps nastavlja sakupljati popis instaliranih aplikacija, telefonski broj, identifikatore uređaja i podatke o tornju ćelije.
S obzirom na stanje odnosa između SAD-a i Kine, možda je vrijedno napomenuti da Kryptowire prima sredstva od američke Agencije za napredne istraživačke projekte u području obrane (DARPA) i Ministarstva za domovinsku sigurnost (DHS).
Napravi od toga što hoćeš.
Kome stvarno možete vjerovati?
Mnogo krivice za unaprijed instalirani zlonamjerni softver i ugrađene sigurnosne nedostatke padaju na noge Kini. Istina je da politika vođenja najveće nadzorne države na svijetu ponekad može upasti u njihovu proizvodnu industriju. Međutim, atribucija je teška, pa čak i izvještaji koji nazivaju i sramote odgovorne stranke obično samo upućuju u obrazovanje.
To ne znači da Kinu treba potpuno izbaciti iz kuka. Nedavne optužbe koje se izjednačavaju kod Huaweija znače da vjerojatno ne biste trebali kupovati njihove telefone ako cijenite privatnost. To nije prvi put da su se Huawei našli upleteni u sigurnosni skandal.
Iako je dosadašnji tok zlonamjernog softvera bio ograničen na Android uređaje, to ne znači da će tako ostati zauvijek. Čak i pod Appleovim budnim okom rizik od zlonamjernog softvera nije vjerovatno nego nemoguće. Ako vas sva ta nesigurnost čini da želite dignuti ruke od poraza, možda je vrijeme da razmislite o tome da odustanete od pametnog telefona i kupite glupi telefon umjesto čega sam uzeo pametni telefon i kupio glupaču umjesto čega sam digao pametni telefon i kupio glupač Umjesto toga, pametni telefoni možda nisu svi na što su zbunjeni. .