Spyware on Chinese Android phones

 ( toMpEr | 2016. november 16., szerda - 12:03 )

Kryptowire has identified several models of Android mobile devices that contained firmware that collected sensitive personal data about their users and transmitted this sensitive data to third-party servers without disclosure or the users' consent.

http://www.kryptowire.com/adups_security_analysis.html
http://www.androidpolice.com/2016/11/15/security-firm-reportedly-finds-spyware-on-chinese-android-phones-including-blu-devices-sold-in-the-us/

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez honnan van?

--

"You can hide a semi truck in 300 lines of code"

Valamelyik blu security-s blogban talaltam.

LOL :D :D

Mi a meglepő? Neve alapján egy indiai supportos volt.

Vagy egy bot. Nem könnyű megkülönböztetni.

Lattam az MS Campus-t Hyderabadban, tudom hogy ti is igy toljatok :D

--

"You can hide a semi truck in 300 lines of code"

Ezért nem kell bízni senkiben. Ugyanazt kellene csinálni, mint desktop gépeknél. Lebaszni az előtelepített OS-t és CM-et tenni helyette.

Sajnos nekem is a gyári van most fenn, mert lusta gyökér vagyok és még nem tettem fel a CM-et.

--
trey @ gépház

A legtobb telefonon nem is tudod ezt megcsinalni garivesztes nelkul sajnos.

Nyilván olyanért pénzt nem adok. Az enyémen gyártóilag támogatott a bootloader unlock és rooting is.

--
trey @ gépház

Nem a garancia a legnagyobb probléma. Pont az érintett kinai kis-brandes mobilok azok, amikre sehogy nincs CM. Nem eléggé elterjedtek annak a közösségnek a körében, ahol megvan a tudás és a szándék is Cyanogenmod kütyüzésére.

Szemétért nem adunk pénzt. Az pedig, hogy a szeméten szemét van, a kutyát nem érdekli.

--
trey @ gépház

Ezt még ki is lehetne pipálni, de attól még a tény tény marad, hogy jön az olcsó szemét - arra pedig semmi garancia, hogy annak a következményei megmaradnak az olcsó szemetet vásárló Lópénisz József problémájának, az ellenkező valószínűbb: ha nem ma, akkor holnap lesz belőle szélesebb körben kár.

Ha volnék egy Gonosz Külföldi (de már mondhatok belföldit is), én pl. sokat adnék hívás- vagy kontaktlistákért, ha akad a rekordok között belépési pontnak rendőr- vagy katonatiszt, vagy csak ilyenek családtagja.

Egy Sulinet volumenű akcióval az ilyen rizikót töredékére lehetne csökkenteni.

"Na de hol van ebben az én hasznom?"

illetve a legtöbb kínai telefonra nem tudsz cm-et tenni

CM megbízhatóbbnak számít, mint mondjuk egy stock Android?

Szóval ha vennék egy Google Pixel telefont, akkor CM-et rátéve nyugodtabban alhatnék, mint korábban?

Szerintem se az AOSP se a CM se járatná le magát backdoorral. Másrészt viszont a mobil egyáltalán nem tekinthető megbízható eszköznek, kezdve onnan, hogy kikapják a kezedből a villamoson, szóval eleve nem érdemes értékes adatot tárolni rajta, a többit meg hadd vigyék.

"kikapják a kezedből a villamoson"

Erre való a fájlrendszer titkosítása.

Erre ugyan nem, mert ha screenlock nélkül megszerzi, akkor egy usb kábellel mindent lementhet, titkosítatlanul.

Autós hasonlattal: lopásgátló vs rablásgátló.

Szerintem aki annyira security tudatos, hogy titkosítsa a fájlrendszert az használ valamilyen screen lock-ot. Bennem fel sem merült, hogy valaki ne használna valami lockscreen védelmet, aki használ titkosítást.

Abban is biztos vagyok, hogy felelőtlenség volna kijelentenem azt, hogy törhetetlen a telefonom csak mert van egy biztonságos kódom, ujjlenyomat-védelmem, és titkosított fájlrendszerem. De abban eléggé biztos vagyok, hogy a tolvaj-tesók legnagyobb prioritása nem a hekkelgetés lesz, hanem az, hogy mielőbb wipe-olják, és továbbadjanak rajta.

De mit ér a lockscreen ha kiveszik a kezedből miközben ki van oldva? Simán meg lehet csinálni. Attól, hogy még nem találkoztál olyannal aki az adataidra utazik, még létezik.

Pont így csinálják az állami szervek:

Behind Ulbricht in the library, a man and woman started a loud argument. Ulbricht turned to look at this couple having a domestic dispute in awkward proximity to him, but when he did so, the man reached over and pushed Ulbricht’s open laptop across the table. The woman grabbed it and handed it off to FBI Special Agent Thomas Kiernan, who was standing nearby.

Ulbricht was arrested, placed in handcuffs, and taken downstairs. Kiernan took photos of the open laptop, occasionally pressing a button to keep it active. Later, he would testify that if the computer had gone to sleep, or if Ulbricht had time to close the lid, the encryption would have been unbreakable. "It would have turned into a brick, basically," he said.

via Sunk: How Ross Ulbricht ended up in prison for life

Ajánlott: Deep Web (2015) http://www.imdb.com/title/tt3312868/

(Coen brothers to pen tech thriller based on true story of the Silk Road: The Oscar-winning film-makers are to write a screenplay about Ross William Ulbricht, the Dread Pirate Roberts behind illegal online drug emporium)

Ahogy írtam nem foolproof. De azért na, hacsak nem célzott támadás áldozata vagy, akkor nem nagy az esélye hogy az adataidra utaznak, inkább a kütyüért kapható pénzre. Nehezen tudom elképzelni, hogy az oportunista tolvaj gyereknek az a top priority hogy ébren tartsa a telefonom, miután kikapta a kezemből. Valószínűbb hogy az első dolga kikapcsolni, nehogy gps-szel követni lehessen.

Ha meg célzott támadás áldozata vagy, akkor meg kiverik belőled a jelszót mint a szart, és cseszheted amúgy is :)

manfreed írta:
Ha meg célzott támadás áldozata vagy, akkor meg kiverik belőled a jelszót mint a szart, és cseszheted amúgy is :)

Úgy van. https://xkcd.com/538/

Nem. Az amcsik már előrébb járnak, a backdoor nem az OS-ben van, hanem alatta. Lásd pl: http://www.tomshardware.com/news/quadrooter-qualcomm-android-firmware-vulnerabilities,32414.html

Az más kérdés, hogy a kínaiak viszont nem csak adatlopásra szokták használni, pl. szinte az összes Allwinner A10-en noname tablet gyári backdoor-os, nem triviális leszedni, és rendszeresen telepítget és leszed alkalmazásokat a tudtod nélkül, tippemre a reklámbevételeket akarják feltornázni így. Az amcsik legalább ezt nem csinálják.

Én most küzdöttem fel egy CM-et egy viszonylag régi (6 éves) Samsungra. A tapasztalatok: 1) átpartícionáltam, az eddigi 1.5 giga rendszer, 10.5 data helyett van 6-6. Kiderült, hogy az eddigi fagyások a rendszer betelésétől voltak (logokat törölve mindig ment még egy kicsit). 2) A CM kevesebb memóriát foglal, mint a gyári, több éves rendszer, az előretelepített szarok miatt.
Viszont a dokumentáció nem valami jó. A lustaság indokolt, én is csak azért szántam rá magam, mert az összes google app kiírta, hogy nem megy tovább a google play services frissítése nélkül, az viszont azt, hogy nincs elég hely a frissítéshez.

"az eddigi fagyások a rendszer betelésétől voltak"

Azt hogy? Tudtommal értelmes android rendszeren a rendszerpartíció read only.

Nagyon nem jártam utána, csak a hibajelenség utalt erre: az értesítések között megjelent, hogy "storage space low", a telefon belassult, döglődött, újra kellett indítani. Ha sikerült a dialeren keresztül eljutni a log-okat kezelő menübe, és ott rányomni a delete gombra, akkor eltűnt a figyelmeztetés és magához tért a telefon. Közben a belső storage-en volt 9 G szabad, a system-en (ahova az appokat telepíti) meg 0.2. (De ez szerintem nem az a system, amire te gondolsz, ahol maga az android van, azt nem is látod a telefonon.)

Ja, meg lebaszni a baseband drivert, stb...
Amíg nincs validált hardware az OS alatt, gyakorlatilag csak a "zavaró" dolgokat tudod elkerülni(pl.: távolról az eszközre telepített nemkívánatos szoftver, felugró teljes ablakos reklámok, stb...), biztonságban nem leszel.

Egyszerűen annyira "sokba kerül" a biztonság, hogy hétköznapi emberek számára nem elérhető.

Tegye fel a kezét, akit ez meglepett.
--
ne terelj

Nagyapám a Don-kanyarban vívta a csatát, apám 56-ban konspirált. Én meg a felhőbe töltöm fel kínai telefonnal az adataimat és Viberen hívom a barátaimat a Moszkva- vagy Kossuth térre. Mindenki a saját módján vesz részt a háborúban, amit mások vívnak. Én csak fegyver vagyok...

a különbség, hogy most hamarabb érnek a megbeszélt helyre azok, akik ellen konspiráltok

Nincs háború, az színpadi kellék a birkárnak. Csakis pénz van, hol itt hol ott.

Fordítsd meg az értelmezést: mire valók a háborúk? Na? Segítek: Régebben nő-, barom-, közvetlen, ma pedig közvetett pénzszerzésre.

Hasonló megashit leírható minden gyártóról, google, apple, ms. Vagy cisco backdoor vagy .... Minden.

Jó, de azt nem lehet leírni minden nap, hogy

"A Windows 10 folyamatosan szivárog"

--
trey @ gépház

A szivárgás már régi most épp a lockscreenre rittyentett reklámokon akad a nép. :P

Nem veletlen, hogy egyre tobb nagy ceg all at Mac-ekre.

Azt nem, szinte soha. De a felhasznalok kivetel nelku feltoltenek mindent a valahova.

Igaz, itt nem a gyartohoz szivargott azvadat.

Újabb lista:

Lenovo A319, Lenovo A6000, MegaFon Login 4 LTE, Bravis NB85, Bravis NB105, Irbis TZ85, Irbis TX97, Irbis TZ43, Irbis tz56, Pixus Touch 7.85 3G, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Itell K3300, Digma Plane 9.7 3G, General Satellite GS700, Nomi C07000, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Ritmix RMD-1121, Oysters T72HM 3G, Irbis tz70, and Jeka JK103.

http://thehackernews.com/2016/12/hacking-android-smartphone.html