7月19日,主板
发布了一篇有趣的关于100美元假iPhone的故事。 在中国收购了模仿iPhone X的Android智能手机; 他是我们很少碰到的人之一,但在西方国家通常是未知的-目标受众并不相同。 假货不是那么高品质,而是勤奋的,从盒子开始到以图标结束。 在黑暗中拍照时,手机确实可以与原始手机混淆。
自然,当您开始使用它时,一切都会变得清晰起来。 手机的运行速度不是很快,它会在类似Apple的界面下弹出“ Google服务已停止运行”的消息。 先进的面部识别系统的副本可将智能手机从任何面部和类似面部的物体上解锁,并且以编程方式模拟(!)显示器的圆形边缘以及带有传感器和扬声器的平台。 主板记者求助于专家,要求评估智能手机的安全性,他们发现,如果从字面上进行翻译,可能会发现某种“游戏”。 剧透:那里没有游戏,只有许多不负责任的代码表明,在廉价的智能手机中,用户数据也得到了三美分的保护。
甚至以某种方式原创,闪烁着!我不会重述整个故事-阅读原著或只看图片。 廉价的智能手机虽然看起来像一千美元的品牌设备,但仍然是一百美元的设备。 事实证明,它可以在带有经过高度修改的启动器的Android 6上运行。 第一次启动时,它像真实的iPhone一样,可靠地重现初始设置对话框。 此外,从此菜单可以诚实地更改Android中存在的设置。 Android不存在是有礼貌的,但是却被默默忽略。
组装铆接电话。 如果您不喜欢现代(真实的,而不是这里的)智能手机中的所有东西,那么那就更糟糕了。 该电话是一次性的,只能用钢丝钳拆卸,根本无法组装。 怎么了 好便宜
作者承诺的后门程序和恶意软件似乎存在,但这全取决于解释。 这篇安全文章正在失去一点战斗热情,我们可以假设在一百美元的iPhone X副本中没有发现任何可怕的情况。 这款智能手机已移交给Trails of Bits专家,以查看那里的安全性。 研究员克里斯·埃文斯(Chris Evans)在一份报告中分享了他的发现,该报告已显示给记者,但没有发表。
你发现了什么? 像指南针和时钟这样的应用程序具有太多的权限(哦,恐怖!)。 模仿Safari的假冒浏览器具有用于远程启动和代码执行的内置功能。 可以将其称为“后门”,但不要太害羞,尽管事实并非故意插入该后门。 就是这样的曲线调试接口。 该出版物援引了一位专家的话,他们证实了这种说法:电话不一定是“恶意的”。 只是那里没有“安全性”。
这并不是说我们要捍卫假冒的iPhone。 相反,本文指的是用于远程更新Adups手机的软件,该软件以免费使用用户数据而闻名,直到将通话记录发送到中国为止已经有两年了(这是
新闻 ,这是Kryptowire的一项
研究 )。 但是缺乏特定性,并且试图在Motherboard的原始出版物中将大象从空中飞起来很容易……更确切地说,也许是沮丧。 安全专家“假设该设备很可能不安全”,并将其存储在可以隔离无线电波的袋子中。 是的,是的,没有法拉第笼子是不可能的。
最近,该实验室的博客上刊登了一篇
帖子 ,其中提供了许多示例,说明廉价的智能手机(即使它们看起来不像iPhone)如何不安全。 在所有这些故事中,我希望有两个故事达到最初的结论。 首先,电话越便宜,保护就越差。 OEM固件使用的可能性越大,弯曲的手将其卷起的次数就越多,他们越会忘记关闭一些调试接口,该调试接口会将任何个人数据发送给任何人。
其次,对信息安全领域了解最少的人对数据保护的要求非常高。 就此而言,我们以及一切都好得多的旗舰手机并不总是那么快乐。 我们在Google Play商店中
统计了特洛伊木马,讨论
了防止通过USB端口从iPhone复制数据的保护
方法以及其他各种技巧。 成千上万的廉价电话甚至都没有在谈论黑客:访问他人数据似乎是一项常规功能。 对于旗舰智能手机,某些“保护措施的改进”将花费其价值的5%。 对于便宜的电话,它将是价格的两倍。
遗憾的是,在出版物《主板》中没有详细研究一点。 在“ iPhone设置”过程中,提示用户从iCloud服务输入登录名和密码,该服务当然在android上不起作用。 那么这些数据会怎样? 最好的情况是,它们像其他iPhone专用的东西一样,不会保存在任何地方。 在最坏的情况下……嗯,您了解发生了什么。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。