Data: 28 września 2020 Autor: Wiktor Sędkowski

Ukryty koszt tanich smartfonów

Pierwszy smartfon powstał ponad ćwierć wieku temu, w 1993 roku IBM wprowadził na rynek urządzenie o nazwie Simon. Był to telefon komórkowy z dotykowym ekranem i funkcjami „personal digital assistant” (PDA), który w latach 1993-95 znalazł się w posiadaniu ponad 50 tysięcy klientów. Przez kolejną dekadę rynek smartfonów znacznie się zmienił, w samym tylko 2007 roku klienci z całego świata kupili ponad 120 milionów tych urządzeń. Natomiast w przeciągu pięciu następnych lat (2008-2012) ponad 1,7 miliarda klientów zdecydowało się na zakup nowego smartfona. Niewiele mniej osób wymieniło bądź też zakupiło swój pierwszy smartfon w samym tylko 2019 roku.

ŹRÓDŁO: MELISSA BARRA/FLICKR

Rynek tej części elektroniki, która na stałe zintegrowała się z naszym prywatnym oraz zawodowym życiem, jest ogromny. W ostatnich kilku latach sprzedaż smartfonów oscyluje w zakresie 1,500,000,000 rocznie. Oznacza to, że statystycznie co piąta osoba kupuje w danym roku nowy telefon. Samsung, Apple, Huawei i Xiaomi od dłuższego czasu niezmiennie wiodą prym w bitwie o klientów, dzieląc się rok w rok około 60% udziałów w rynku. Pozostałe 40% to często inne znane firmy z rynku IT, którym udaje się przebić w danym roku z innowacyjnym bądź atrakcyjnym cenowo produktem. Wszystkie te firmy łączy długofalowy plan, który zakłada utrzymanie klienta oraz dbanie o własną markę i reputację. Naturalnie każdemu producentowi zdarzają się wpadki. Przykładem może być luka bezpieczeństwa wykryta przez inżynierów Project Zero – należącej do Google grupy analityków specjalizujących się w wyszukiwaniu błędów w każdym typie oprogramowania (w tym oprogramowania stworzonego przez inne firmy niż Google). W maju 2020 Samsung opublikował aktualizację, naprawiającą błąd wykryty przez Project Zero. Błąd znajdował się w silniku graficznym Skia, który został zmodyfikowany przez Samsunga i był wykorzystywany we wszystkich smartfonach wyprodukowanych przez firmę między 2014 a 2020 rokiem. Atakujący przy użyciu specjalnie przygotowanych wiadomości MMS wykorzystując pliki graficzne .qmg mógł wymusić obejście zabezpieczeń ASLR obecnych w systemie Android i wykonać na nim dowolny kod, w praktyce doprowadzając do przejęcia kontroli nad urządzeniem. Proces ten nie był jednak trywialny i wymagał wysłania dziesiątek, jeśli nie setek wiadomości MMS. Warto jednak podkreślić, że po skutecznym ataku, wiadomości na zinfiltrowanym urządzeniu mogą zostać natychmiast usunięte a ofiara pozostanie kompletnie nieświadoma włamania. Samsung po uzyskaniu informacji o luce opublikował aktualizację dla swoich urządzeń.

Wesprzyj nas

Jeżeli przygotowane przez zespół Warsaw Institute treści są dla Państwa przydatne, prosimy o wsparcie naszej działalności. Darowizny od osób prywatnych są niezbędne dla kontynuacji naszej misji.

Wspieram

Niestety tego typu problemy nie są niczym wyjątkowym. W internetowej bazie podatności Common Vulnerabilities and Exposures (CVE) dla samego tylko systemu Android znajdziemy ponad 6.000 zgłoszonych błędów, które w różnym stopniu mogą zostać wykorzystane przez hakerów. Firmy technologiczne dbając o swoich klientów i markę rutynowo publikują aktualizacje mające na celu zapobiec wykorzystaniu wykrytych luk bezpieczeństwa. Niestety nie wszystkie. Przypomnijmy, że rynek smartfonów w około 40% należy do mniejszych firm, w zdecydowanej większości firm oferujących użytkownikom dobry i pozbawiony ukrytych wad sprzęt. Udział w walce o klienta biorą też gracze nieposiadający większego doświadczenia, wykorzystujący niesprawdzonych podwykonawców jako źródło sprzętu i oprogramowania. Oferujący sprzęt tani, ale pozbawiony wsparcia w postaci regularnych aktualizacji.
Znane są też przypadki dostawców sprzętu, który już do odbiorcy końcowego trafia z preinstalowanym złośliwym oprogramowaniem. W styczniu 2020 specjaliści z Malwarebytes poinformowali o odnalezieniu złośliwego oprogramowania preinstalowanego na urządzeniach Unimax UMX U686CL. Wyprodukowane w Chinach urządzenia trafiły do amerykańskich użytkowników programu Assurance Wireless, oferującego dopłaty do urządzeń mobilnych oraz dostęp do sieci komórkowej dla najbardziej potrzebujących. Urządzenia zanim trafiły do klientów zostały zainfekowane wariantem malware’u HiddenAds (Android/Trojan.HiddenAds.WRACT) oraz oprogramowaniem Android/PUP.Riskware.Autoins.Fota.fbcvd, które jest powiązane z chińska firmą Adups, złapaną na nielegalnym procederze zbierania danych użytkowników, tworzeniu backdoorów dla urządzeń mobilnych i auto-installerów – programów umożliwiających automatyczne instalowanie innych aplikacji na urządzeniach klientów. Szczegóły techniczne odnaleźć można w raporcie firmy malware bytes, znajdziemy tam też stanowisko producenta urządzeń:
„Po zbadaniu problemu firma Unimax Communications ustaliła, że aplikacje opisane w poście nie są złośliwym oprogramowaniem… Jednak podczas przeglądania tych aplikacji firma Unimax Communications ustaliła, że w bibliotece aplikacji Ustawienia może istnieć potencjalna luka w zabezpieczeniach. Z tego powodu Unimax Communications zaktualizował oprogramowanie w celu usunięcia potencjalnej luki w zabezpieczeniach”.
Pod koniec lipca ten sam problem został odnaleziony w niskopółkowych urządzeniach ANS L51 oferowanych głównie na rynku amerykańskim. Prowadzone obecnie dochodzenie ma dowieść czy złośliwe oprogramowanie zostało zainstalowane przez dostawcę, czy też zostało zainstalowane w systemie operacyjnym później w drodze przez łańcuch dostaw.
Preinstalowane aplikacje śledzące są oczywiście dużym problemem, nieświadomi użytkownicy płacą niewygórowaną kwotę za sprzęt, który w niekontrolowany sposób okrada ich z prywatności. Jeszcze większym problemem są jednak urządzenia, które okradają ich nie tylko z prywatności, ale także pieniędzy. Pod koniec sierpnia 2020 pojawiły się doniesienia na temat urządzeń oferowanych głównie w Afryce. Tanie chińskie smartfony Tecno W2, oferowane między innymi klientom w RPA, Egipcie, Etiopi, Ghanie i Kamerunie, były sprzedawane z zainstalowanym wcześniej backdoorem triada oraz trojanem xHelper. Ten pierwszy pozwalał na instalowanie dowolnego oprogramowania bez wiedzy właściciela, używając swoich możliwości instalował trojana xHelper. Złośliwe oprogramowanie zagnieżdżało się w systemie w sposób uniemożliwiający jego łatwe usunięcie. Przywracanie ustawień fabrycznych urządzenia w tym przypadku nie pomagało. Właściciel nowego telefonu notorycznie zasypywany był niechcianymi reklamami wyświetlającymi się na ekranie smartfona i zapisywany do płatnych usług, których nie zamawiał. Rzecznik firmy Transsion przyznał, że telefony Tecno W2 faktycznie zostały zainfekowane, obwiniając nienazwaną firmę podwykonawczą. Nie ujawniono, ile „wadliwych” urządzeń trafiło na rynek. Jednocześnie podkreślając, że firma nie czerpała korzyści z procederu generowania automatycznych subskrypcji.

All texts published by the Warsaw Institute Foundation may be disseminated on the condition that their origin is credited. Images may not be used without permission.

TAGS:

Powiązane wpisy
Top