كان الأسبوع الماضي غنيًا بالأخبار المتعلقة بأمان هواتف Android الذكية. كتب العديد من وسائل الإعلام (على سبيل المثال ،
ArsTechnica ) أن Google "أكدت" حقيقة بيع الهواتف الذكية مع باب خلفي مثبت مسبقًا "في المصنع". كان سبب هذه العناوين
مقالة تقنية تمامًا من
قِبل خبير Google Lukasz Siverski مع تحليل لعائلة Triada من البرامج الضارة للجوال.
أصبح تريادا معروفًا للباحثين (بما في ذلك فريق Google بالطبع) منذ عام 2016. لأول مرة ، تم وصف مستتر من خبراء كاسبرسكي لاب (
هنا وهنا ). تفصل هاتان المادتان بالتفصيل إدخال الشفرة الخبيثة في نظام التشغيل (منذ Android 4.x) ، وجمع وإرسال بيانات المستخدم ، وتعديل العديد من المتصفحات لعرض إعلانات البانر.
ما يثير الاهتمام حقًا في مشاركة ممثل فريق Android Security هو إجابة سؤال بالضبط كيف دخلت الشفرة الخبيثة في البرامج الثابتة للهواتف. اتصل مطورو أجهزة الميزانية الصينية بالمقاولين لتطوير ميزات إضافية. من خلال مثل هذا المقاول ، تم بناء مستتر في النظام.
تصف دراسة أجرتها Kaspersky Lab لعام 2016 متغير Triada ، والذي يمكن تثبيته مسبقًا على الهواتف من الشركات المصنعة الصينية ، ولكنه كان أيضًا قادرًا على مهاجمة أي هواتف ذكية أخرى. استغل Triada نقاط الضعف في الإصدار الحالي من Android 4.x. ميزة فريدة من الباب الخلفي كانت القدرة على الاندماج في عملية أندرويد الرئيسية المعروفة باسم Zygote.
هذا النهج يوفر طروادة مع سيطرة كاملة تقريبا على الجهاز. تفاصيل مقال من Android Security Team تفصيل واحد آخر: استخدمت Triada su suited معدلة للتحكم في عمليات النظام. لقد أعطى التطبيقات امتيازات المستخدم الخارق فقط إذا قاموا بطلب باستخدام كلمة المرور الصحيحة.
أيضا ، في منشور من قبل Lukasz Siverski ، فإنه يروي كيف تتبع الباب الخلفي التطبيق الذي فتحه المستخدم. إذا كان متصفحًا ، فسيتم عرض الإعلانات فوقه. إذا تم فتح متجر Google Play ، فتقوم Triada في الخلفية بتنزيل التطبيقات وتثبيتها من خادم الأوامر الخاص بها.
في عام 2017 ، استشهد Dr.Web في
دراسته بأمثلة من الهواتف الذكية المصابة في مستتر المصنع: Leagoo M5 Plus و Leagoo M8 و Nomu S10 و S20. تم بيع أجهزة غير مكلفة (حوالي 100 دولار) في كل من الصين والغرب ، والتي لا يزال بعضها موجودًا في المتاجر الصينية على الإنترنت.
في مقال حديث ، كشفت Google عن خطة لتنفيذ إصدار "المصنع" من Triada (انظر الصورة أعلاه). على ما يبدو ، تحول مزودو الهواتف الذكية إلى شركات خارجية لتضمين وظائف إضافية في البرامج الثابتة للجهاز التي لم تكن متوفرة في مشروع Android Open Source. لهذا ، تم إرسال صورة النظام إلى المقاول (ذكرها Yehuo و Blazefire). عاد مع ملحق - كلاهما شرعي (فتح في وجه المالك) والخبيثة. ذكرت Google أنها ، مع مطوري الأجهزة ، قاموا بإزالة آثار الباب الخلفي من البرامج الثابتة.
ولكن ، على ما يبدو ، هذا مستتر فقط. في 7 يونيو ، أبلغ ممثلو إدارة أمن المعلومات (BSI) في ألمانيا (
الأخبار ) عن اكتشاف مستتر Xgen2-CY في أربعة هواتف ذكية بميزانية. تقوم نماذج Doogee BL7000 و M-Horse Pure 1 و Keecoo P11 و VKworld Mix Plus بجمع معلومات المستخدم وإرسالها إلى خادم الأوامر ، حيث يمكنها تثبيت التطبيقات وفتح الصفحات في المستعرض دون علم المستخدم. فقط من أجل طراز Keecoo P11 (5.7 إنش ، 4 مراكز ، 2 جيجا بايت من الذاكرة ، 110 دولار على GearBest) يتوفر إصدار محدث من البرنامج الثابت دون مستتر. وفقًا لـ BSI ، يصل عدد الأجهزة التي تصل إلى 20 ألف جهاز إلى خوادم C & C للمهاجمين من IP الألمانية.
بشكل عام ، لم يتم حل المشكلة تمامًا ، ومن المحتمل أن تكون التوصية للمستهلكين هي: فكر مرتين قبل شراء هاتف ذكي رخيص لعلامة تجارية مشكوك فيها. في شهر تموز (يوليو) الماضي ، استشهدنا بمقال نشرته Motherboard
يصف نسخة طبق الأصل من جهاز iPhone X من الصين. أرسل الجهاز معلومات المستخدم اليمين واليسار. عادةً لا تقع هذه الحرف خارج الصين ، لكن بعض الأجهزة "الدولية" ليست أفضل. بينما نناقش مشكلات الخصوصية وممارسة جمع بيانات المستخدم من قبل جميع المشاركين في السوق ، أصبح عشرات الآلاف من الأشخاص حول العالم ضحية لمجرمي الإنترنت الصريحين.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.