В США для самых бедных слоев населения распространяются смартфоны UMX U686CL. Их продают, а не раздают бесплатно, но цена крайне низкая и составляет около $35. Это китайские смартфоны, и, как оказалось, один из их программных компонентов — зловред, удалить который просто невозможно.
Смартфоны поставляются по государственной программе Assurance Wireless, в ней принимают участие Virgin Mobile и субсидирует американский правительственный фонд Universal Services Fund. Программа работает уже несколько лет, а смартфон UMX U686CL — самый дешевый из всей линейки.
Поставляют его из Китая. В октябре прошлого года эксперты компании Malwarebytes обнаружили, что на этих смартфонах есть предустановленные приложения — вредоносы.
Речь идет о программном элементе Wireless Update, который используется для обновления ПО на смартфоне. Но это еще и вредоносное ПО Adups, которое собирает пользовательские данные. Это приложение разработала компания Adups, откуда и название программы.
Если удалить Wireless Update, прошивку телефона обновить будет нельзя, поскольку Google напрямую не позволяет загружать апдейт устройства.
Получается, что Adups выполняет одновременно роль защитного ПО, поскольку дает возможность защититься от критических уязвимостей пользователям. Но оно же и загружает на устройство пользователя другие программы, включая те, что дают возможность разработчикам разных приложений накручивать загрузки. При этом нет никакой гарантии того, что однажды разработчики Adups не решат установить вредоносный софт.
Но и это еще не все. Дело в том, что на UMX U686CL установлено еще одно ПО, которое вызывает сомнение у специалистов по информационной безопасности. Это Android/Trojan.Dropper.Agent.UMX, который на устройстве выполняет роль контрольной панели.
Различные инструменты позволяют удалить вредоносы, но в этом случае пропадает возможность обновить ПО на смартфоне, а также изменять настройки. Фактически, удалив эти два приложения, пользователь теряет возможность нормально работать с телефоном.
По мнению экспертов компании, обнаружившей проблему, похожие проблемы есть и у других поставщиков недорогих смартфонов, причем количество adware и malware на таких устройствах увеличивается.
«Если предположить, что бюджетные смартфоны продаются сильно ниже себестоимости, то у производителя, конечно, появляется мотив смотреть сквозь пальцы на тот факт, что в устройства встраиваются программные компоненты, которые компенсируют «недополучение прибыли», пусть даже и не самым корректным и законным образом. Очень странно, впрочем, что смартфоны, продающиеся в рамках субсидируемой государством программы, не проходят жёсткой проверки на предмет нежелательного ПО, — получается, что по госпрограмме распространяются небезопасные устройства. А информационная безопасность отдельно взятого устройства, подключённого к Сети, это риск далеко не только для одного его пользователя», — заявил Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services.
Что касается компании Assurance Wireless, ее представители уже успели прокомментировать ситуацию, заявив, что приложения, которые упомянуты в СМИ, не являются malware.
wxmaper
Нет никакой гарантии, что однажды разработчики Android/ios не решат превратить все смартфоны в кирпич.
balamutang
Есть гарантия что не превратят, по крайней мере андроиды.
Никто напрямую не льет из гугла обновления андроида, обновления ОС прилетает от производителя устройства, который дает как раз гарантию (и который тестирует у себя это обновление прежде чем выкатить его).
С айфоном немного не так, но принцип тот же, производитель исполняет гарантийные обязательства.
DerRotBaron
У гугла тоже есть возможность:
Комбинацией этих фич можно вполне себе окирпичить устройство так, что исправить его можно будет только оффлайн-перепрошивкой. При наличии прошивки от вендора, вырезающей гуглосервисы.
balamutang
Я к тому что гарантия есть. Окирпичивание не нанесет материального ущерба конечному пользователю, ущерб будет только вендору, которому придется в рамках действующей гарантии восстановить работу устройства, а у вендора могут появиться вопросы к гуглу.
wxmaper
Т.е. если взять самый худший сценарий, скажем — суровейший военный конфликт и прямое указание президента "окирпичить" врагов, с которым никто и спорить не подумает, вы серьезно надеетесь на восстановление в рамках гарантии производителя?
Я это к тому пишу, что возможности есть как и там (компания из статьи), так и тут (гугло-эплы), но в настоящий момент времени их использование нецелесообразно ни для первых, ни для вторых.
balamutang
А когда окирпичивание целесообразно?
Окирпичивание вообще нецелесообразно, тк это частные проблемы пользователя на первые день-два, пока пользователь не купит новый смарт или звонилку.
Так можно только мелко подгадить (при чем себе тоже), но нанести какого-то значимого ущерба не получится, это же не аппарат жизнеобеспечения и не элемент критично важной инфраструктуры.