Niedawno szczegółowo sprawdzono bezpieczeństwo pięciu najzwyklejszych telefonów komórkowych z klawiaturą fizyczną, które można kupić już za około 10-20 dolarów. Powszechnie są one określane jako telefony dla dziadków?, bo zwykle są kupowane dla osób starszych, które nie chcą lub nie potrafią przyzwyczaić się do smartfonów. Takie telefony mogą również służyć jako wyjście awaryjne. Niektórzy uważają również, że są one bezpieczniejsze niż smartfony z systemem Android.

Reklama

To ostatnie stwierdzenie zostało obalone. Mężczyzna, który przeprowadził wspomniane wyżej badanie, odkrył w czterech z pięciu telefonów ukryte funkcje: dwa przesyłały dane przy pierwszym włączeniu (wyciek danych osobowych nowego właściciela), a pozostałe dwa nie tylko udostępniały dane prywatne, ale mogły również subskrybować użytkownika do płatnych treści, potajemnie komunikując się przez internet z serwerem poleceń.

Zainfekowany telefon dla babci

Autor badania udostępnia informacje na temat metod, jakich użył do analizy oprogramowania układowego tych prostych urządzeń. Takie szczegóły techniczne mogą być interesujące dla osób chcących przeprowadzić podobną analizę. Do jakich ustaleń doszedł badacz?

Spośród pięciu telefonów dwa wysyłają gdzieś dane użytkownika przy pierwszym włączeniu. Nie wiadomo, do kogo one trafiają - do producenta, dystrybutora, programisty oprogramowania układowego czy kogoś innego. Nie jest też jasne, w jaki sposób mogą one zostać wykorzystane. Można założyć, że mogą służyć do monitorowania sprzedaży lub kontrolowania dystrybucji partii produktów w różnych krajach. Nie jest to jakoś szczególnie niebezpiecznie - w końcu każdy smartfon przesyła jakieś dane telemetryczne.

Reklama

Należy pamiętać, że wszyscy najwięksi producenci smartfonów starają się przynajmniej anonimizować gromadzone przez siebie dane, a miejsce, w które trafiają, jest zazwyczaj określone. Jednak w tym przypadku nie wiadomo, kto zbiera poufne informacje właścicieli bez ich zgody. Na przykład jeden z telefonów przesyła nie tylko swój numer seryjny, kraj aktywacji, informacje o oprogramowaniu układowym i język, ale także identyfikator stacji bazowej, który może posłużyć do ustalenia przybliżonej lokalizacji użytkownika.

Co więcej, serwer zbierający dane nie ma żadnej ochrony, więc w zasadzie informacje te można zdobyć. Ponadto transmisja odbywa się przez internet. Użytkownik takiego telefonu może nawet nie być świadomy, że urządzenie łączy się z Siecią. W efekcie takie tajne działania mogą skutkować nieoczekiwanymi podwyższonymi opłatami za transmisję danych komórkowych. Kolejny telefon z badanej grupy również udostępniał dane użytkowników, ale dodatkowo został zaprogramowany tak, aby kradł pieniądze od jego właściciela. Jak wykazała analiza oprogramowania układowego, telefon kontaktował się z serwerem poleceń przez internet i wykonywał jego instrukcje, w tym wysyłał ukryte wiadomości tekstowe na płatne numery.

Kolejny model telefonu miał jeszcze bardziej zaawansowaną szkodliwą funkcjonalność. Według jednego z jego rzeczywistych użytkowników zupełnie obca osoba użyła jego numeru telefonu, aby zarejestrować się w aplikacji Telegram. Jak do tego doszło? Zarejestrowanie się w znakomitej większości aplikacji do przesyłania wiadomości wiąże się z podaniem numeru telefonu, na który SMS-em jest wysyłany kod potwierdzający. Wygląda jednak na to, że telefon może przechwycić tę wiadomość i przekazać kod potwierdzający do serwera kontroli, cały czas ukrywając te działania przed właścicielem urządzenia. Podczas gdy poprzednie przykłady dotyczyły głównie nieprzewidzianych wydatków, ten scenariusz grozi realnymi problemami prawnymi, na przykład gdy telefon zostanie wykorzystany konta do jakiejś działalności przestępczej.

Co zrobić, gdy już wiemy, że telefony z klawiaturą nie zawsze są bezpieczne?

Różnica między nowoczesnymi telefonami z niższej półki a ich odpowiednikami sprzed 10 lat polega na tym, że teraz nawet tanie modele mogą mieć dostęp do internetu. Nawet w przypadku nowego urządzenia może okazać się, że telefon wybrany specjalnie ze względu na brak możliwości połączenia się z internetem i tak przechodzi do trybu online.

Wcześniej ten sam badacz przeanalizował inny telefon z klawiaturą. Chociaż nie znalazł w nim szkodliwej funkcjonalności, urządzenie miało menu umożliwiające dostęp do płatnych subskrypcji horoskopów i wersji demonstracyjnej gier. Użytkownik mógł odblokować ich pełne wersje — i zapłacić z nie — za pomocą wiadomości tekstowej. Innymi słowy, osoba starsza lub dziecko może nacisnąć niewłaściwy przycisk na telefonie zakupionym specjalnie z myślą o braku dostępu do internetu i aplikacji.

Najważniejsze w tym wszystkim jest to, że często producent lub dealer w Chinach dodaje „dodatkowe funkcje”, więc lokalni dystrybutorzy mogą nawet nie być świadomi problemu. Innym czynnikiem jest to, że telefony z klawiaturą są dostarczane w małych partiach w wielu różnych modelach i trudno jest odróżnić normalny telefon od zainfekowanego, chyba że można dokładnie zbadać oprogramowanie układowe. Oczywiście nie wszyscy dystrybutorzy mogą sobie pozwolić na odpowiednią kontrolę oprogramowania układowego.