Joseph Goodman
0 
2427
366
Rozbalení nového smartphonu je považováno za jednu z nových radostí tech. Odstranění celofánu, sklouznutí horní části krabice a zapnutí vašeho nedotčeného zařízení. Logo spouštění se točí v celé jeho barevné slávě, zatímco telefon připravuje svůj nový operační systém.
Ale co když to není tak hloupé, čisté? Pod tímto jasným exteriérem se může skrývat něco zlověstnějšího. Ukázalo se, že existuje důkaz, že nemusíte věřit svému zcela novému telefonu Android.
Dodavatelský řetězec spotřební elektroniky
Moderní výrobní dodavatelské řetězce jsou komplikované. V důsledku globalizace existuje celosvětový trh pro vše od surovin po hotové výrobky a spotřební elektronika se neliší. Jedním z největších výrobců elektroniky je Čína, kde mnoho západních podniků outsourcingovalo výrobu od doby, kdy se její ekonomika začala rozrůstat v 80. letech.
Číňané jsou také největším výrobcem křemíku, životně důležitého materiálu v moderní elektronice. Země je odpovědná za výrobu většiny spotřební elektroniky používané po celém světě. Jen v roce 2017 čínský dovoz do USA činil 189 miliard USD. Tento fenomenální růst a dominance na trhu vyústily v nedávnou obchodní válku mezi USA a Čínou, kdy obě země uvalily na výrobky druhé strany v průběhu roku 2018 vysoké tarify..
Obrázek Kredit: omur12 / Depositphotos
Přestože Čína ovládá velkou část výrobního dodavatelského řetězce, materiály a sestavené komponenty jsou po celém světě dodávány. Z tohoto důvodu má vaše Apple iDevice “Navrženo v Kalifornii. Sestaveno v Číně” vyryté na zádech. Ve své eseji z roku 1958 “Já, tužka,” ekonom Leonard Přečtěte si podrobně propracovaný proces potřebný k výrobě jediné tužky, zdánlivě jednoduchého odhozeného produktu.
Rozšiřující se a složitý dodavatelský řetězec elektroniky znamená, že přesná sledovatelnost je téměř nemožný úkol.
Výroba chytrých telefonů Android
Přístup společnosti Apple na stěnu znamená, že mají přísnou kontrolu nad výrobním procesem. Společnost byla v minulosti obviňována ze špatných a nebezpečných podmínek pro své zaměstnance v továrně, ale přísně řídí tento proces.
Totéž nelze říci pro zařízení Android.
Google přistupuje k mobilnímu operačnímu systému s hands-off. Protože Android je open-source, výrobci s ním mohou dělat, co chtějí, bez placení desetníku. Tento obchodní model je připsán pohonu systému Android do hlavního proudu a jeho současné dominanci na trhu.
Tento přístup má však určité nevýhody. Fragmentace, pomalé nebo někdy neexistující aktualizace a nereagující nebo nevyžádané nosné rakety, abychom jmenovali alespoň některé. Každý výrobce a dopravce je schopen navrhnout hardware a software každého zařízení na zakázku. Výsledkem je, že na trhu je nyní mnoho různých zařízení Android.
Vzhledem k tomu, že většina výrobního procesu se provádí v Číně (což je důvod, proč kupujete telefony přímo z Číny, proč byste měli nakupovat své technologie z Číny (a jak to bezpečně)), proč byste měli nakupovat své techniky z Číny (a jak to dělat) Bezpečně) Existuje několik dobrých důvodů, proč si kupovat technologické výrobky a gadgety z Číny namísto řekněme Amazonu. Tady je to, co potřebujete vědět. Stává se tak populární), továrny často sestavují chytré telefony pro více výrobců. Mohou dokonce běžet na stejné výrobní lince se změnou pouze značky. To vedlo k tomu, že mnoho zařízení sdílí software, komponenty a někdy i celý hotový produkt.
Váš nový chytrý telefon nemůžete důvěřovat
Otevřená povaha Androidu se propůjčuje malwaru tak, jak to pečlivě ošetřená zařízení Apple ne. Přestože Google v posledních několika letech podnikl kroky ke zlepšení zabezpečení platformy, špatné postupy a spletité dodavatelské řetězce výrobců představují příležitost pro škodlivé útočníky.
Malware RottenSys
Na začátku roku 2018 uvítala Wi-Fi služba na Xiaomi Redmi pozornost vědců v Check Point Research (CPR). Po nějakém vyšetřování zjistili, že neposkytuje vůbec Wi-Fi služby. Místo toho požadoval dlouhý seznam citlivých oprávnění pro Android, z nichž žádné se netýkalo služeb Wi-Fi.
Jedním z nejvíce oprávnění pro označení bylo DOWNLOAD_WITHOUT_NOTIFICATION. Zdá se, že aplikace toto oprávnění použila ke stažení škodlivého softwaru ze serveru Command & Control (C&C) po malém zpoždění, když byl telefon původně zapnut. Malware, známý jako RottenSys, byl schopen skrýt se před operačním systémem pomocí open-source framework s názvem MarsDaemon, aby udržel své procesy naživu.
Server C&C poskytoval soubory pro škodlivou reklamní síť, která byla v telefonu tiše nainstalována pomocí falešné služby Wi-Fi. CPR odhaduje, že útočníci mohli vydělat až 115 000 dolarů za každých deset dní operace. Vědci také našli důkaz, že útočníci se připravují na nábor infikovaných zařízení do jejich botnetu (co je botnet? Co je botnet a je váš počítač součástí jednoho? Co je botnet a je váš počítač součástí jednoho? Botnety jsou hlavní zdroj malwaru, ransomwaru, spamu a dalších. Co je to botnet? Jak vznikají? Kdo je ovládá? A jak je můžeme zastavit?).
Vyšetřování CPR zjistilo, že velkoobchodník s elektronikou Tian Pai zpracoval téměř polovinu infikovaných zařízení. Přestože nešli tak daleko, že by naznačovali, že Tian Pai je spoluvina, dospěli k závěru, že malware byl pravděpodobně nainstalován v určitém bodě dodavatelského řetězce..
Malware se začal šířit v září 2016 a do března 2018 infikoval téměř pět milionů zařízení po celém světě. Naštěstí odebrání RottenSys trvá jen několik sekund - jakmile víte, kde je najít. Pokud se zdá, že vaše nové zařízení se systémem Android prochází adwarem, přejděte k nastavení a odeberte všechny aplikace uvedené v přehledu CPR. Jakmile odinstalujete aplikaci, RottenSys by měla zmizet spolu s ní.
Šanghajská technologie AdUps
Naše smartphony generují a ukládají mnoho osobních a citlivých informací. Poslední věc, kterou byste očekávali od svého zcela nového smartphonu, by bylo, kdyby shromažďovala všechna tato data a poslala je na čínský server každých 72 hodin..
To však vědci v bezpečnostní firmě Kryptowire našli v roce 2016. Ovlivněný firmware byl viděn na několika zařízeních Android prodávaných v USA, včetně populárního BLU R1 HD. V důsledku obcházení oprávnění pro systém Android bylo uděleno neomezený přístup ke všem vašim datům. Podle zprávy to zahrnovalo:
“… Informace o uživateli a zařízení včetně celého textu textových zpráv, seznamů kontaktů, historie hovorů s úplnými telefonními čísly, jedinečných identifikátorů zařízení včetně mezinárodní identifikace mobilního předplatitele (IMSI) a mezinárodní identifikace mobilního zařízení (IMEI).”
Bylo také možné vzdáleně přeprogramovat zařízení, instalovat aplikace a shromažďovat data z Fine Location. Kryptowire sledoval podezřelou aktivitu zpět k čínské firmě Shanghai AdUps Technology. Společnost uvedla, že sběr dat je chyba, a firmware byl používán pouze k poskytování aktualizací. Na odstranění spywaru však spolupracovali s americkou vládou, Amazonem, BLU a Google.
O rok později vědci zjistili, že Shanghai AdUps stále používá spyware na zařízeních Android. Většina datových sifonů byla skryta, nikoli odstraněna. Pro americká zařízení bylo vypnuto několik funkcí, ale stále odesílala data zpět čínské firmě. Kryptowire poznamenal, že AdUps nadále shromažďoval seznam nainstalovaných aplikací, telefonní číslo, identifikátory zařízení a informace o věži.
Vzhledem ke stavu vztahů mezi USA a Čínou je třeba poznamenat, že společnost Kryptowire dostává finanční prostředky od Agentury pro obranný výzkum Spojených států (DARPA) a ministerstva vnitřní bezpečnosti (DHS)..
Udělejte z toho, co budete chtít.
Komu můžete opravdu důvěřovat?
Mnoho viny za předinstalovaný malware a vestavěné bezpečnostní chyby padá na čínské nohy. Je pravda, že politika provozování největšího státu dozoru na světě může někdy vniknout do jejich výrobního průmyslu. Přisuzování je však obtížné a dokonce i zprávy, které jmenují a hanebí odpovědné strany, obvykle dělají vzdělaný odhad.
To neznamená, že by Čína měla být zcela uvolněna z háku. Nedávná obvinění na Huawei znamenají, že byste si pravděpodobně neměli koupit jejich telefony, pokud si ceníte soukromí. Není to poprvé, co se Huawei ocitli zapleteni do bezpečnostního skandálu.
Ačkoli současný proud malwaru byl dosud omezen na zařízení Android, to však neznamená, že tak zůstane navždy. Dokonce i pod dohledem Apple je riziko malwaru spíše než nemožné. Pokud vám tato nejistota způsobí, že chcete porazit ruce poraženě, pak je na čase zvážit vykopání smartphonu a místo toho si koupit hloupý telefon. Místo toho nemusí chytré telefony být všechno, co se jim zdá. .