Pierwszy smartfon powstał ponad ćwierć wieku temu, w 1993 roku IBM wprowadził na rynek urządzenie o nazwie Simon. Był to telefon komórkowy z dotykowym ekranem i funkcjami „personal digital assistant” (PDA), który w latach 1993-95 znalazł się w posiadaniu ponad 50 tysięcy klientów. Przez kolejną dekadę rynek smartfonów znacznie się zmienił, w samym tylko 2007 roku klienci z całego świata kupili ponad 120 milionów tych urządzeń. Natomiast w przeciągu pięciu następnych lat (2008-2012) ponad 1,7 miliarda klientów zdecydowało się na zakup nowego smartfona. Niewiele mniej osób wymieniło bądź też zakupiło swój pierwszy smartfon w samym tylko 2019 roku.
Rynek tej części elektroniki, która na stałe zintegrowała się z naszym prywatnym oraz zawodowym życiem, jest ogromny. W ostatnich kilku latach sprzedaż smartfonów oscyluje w zakresie 1,500,000,000 rocznie. Oznacza to, że statystycznie co piąta osoba kupuje w danym roku nowy telefon. Samsung, Apple, Huawei i Xiaomi od dłuższego czasu niezmiennie wiodą prym w bitwie o klientów, dzieląc się rok w rok około 60% udziałów w rynku. Pozostałe 40% to często inne znane firmy z rynku IT, którym udaje się przebić w danym roku z innowacyjnym bądź atrakcyjnym cenowo produktem. Wszystkie te firmy łączy długofalowy plan, który zakłada utrzymanie klienta oraz dbanie o własną markę i reputację. Naturalnie każdemu producentowi zdarzają się wpadki. Przykładem może być luka bezpieczeństwa wykryta przez inżynierów Project Zero – należącej do Google grupy analityków specjalizujących się w wyszukiwaniu błędów w każdym typie oprogramowania (w tym oprogramowania stworzonego przez inne firmy niż Google). W maju 2020 Samsung opublikował aktualizację, naprawiającą błąd wykryty przez Project Zero. Błąd znajdował się w silniku graficznym Skia, który został zmodyfikowany przez Samsunga i był wykorzystywany we wszystkich smartfonach wyprodukowanych przez firmę między 2014 a 2020 rokiem. Atakujący przy użyciu specjalnie przygotowanych wiadomości MMS wykorzystując pliki graficzne .qmg mógł wymusić obejście zabezpieczeń ASLR obecnych w systemie Android i wykonać na nim dowolny kod, w praktyce doprowadzając do przejęcia kontroli nad urządzeniem. Proces ten nie był jednak trywialny i wymagał wysłania dziesiątek, jeśli nie setek wiadomości MMS. Warto jednak podkreślić, że po skutecznym ataku, wiadomości na zinfiltrowanym urządzeniu mogą zostać natychmiast usunięte a ofiara pozostanie kompletnie nieświadoma włamania. Samsung po uzyskaniu informacji o luce opublikował aktualizację dla swoich urządzeń [1].
Niestety tego typu problemy nie są niczym wyjątkowym. W internetowej bazie podatności Common Vulnerabilities and Exposures (CVE) dla samego tylko systemu Android znajdziemy ponad 6.000 zgłoszonych błędów, które w różnym stopniu mogą zostać wykorzystane przez hakerów. Firmy technologiczne dbając o swoich klientów i markę rutynowo publikują aktualizacje mające na celu zapobiec wykorzystaniu wykrytych luk bezpieczeństwa. Niestety nie wszystkie. Przypomnijmy, że rynek smartfonów w około 40% należy do mniejszych firm, w zdecydowanej większości firm oferujących użytkownikom dobry i pozbawiony ukrytych wad sprzęt. Udział w walce o klienta biorą też gracze nieposiadający większego doświadczenia, wykorzystujący niesprawdzonych podwykonawców jako źródło sprzętu i oprogramowania. Oferujący sprzęt tani, ale pozbawiony wsparcia w postaci regularnych aktualizacji.
Znane są też przypadki dostawców sprzętu, który już do odbiorcy końcowego trafia z preinstalowanym złośliwym oprogramowaniem [2]. W styczniu 2020 specjaliści z Malwarebytes poinformowali o odnalezieniu złośliwego oprogramowania przeinstalowanego na urządzeniach Unimax UMX U686CL. Wyprodukowane w Chinach urządzenia trafiły do amerykańskich użytkowników programu Assurance Wireless, oferującego dopłaty do urządzeń mobilnych oraz dostęp do sieci komórkowej dla najbardziej potrzebujących. Urządzenia zanim trafiły do klientów zostały zainfekowane wariantem malware’u HiddenAds (Android/Trojan.HiddenAds.WRACT) oraz oprogramowaniem Android/PUP.Riskware.Autoins.Fota.fbcvd, które jest powiązane z chińska firmą Adups, złapaną [4] na nielegalnym procederze zbierania danych użytkowników, tworzeniu backdoorów dla urządzeń mobilnych i auto-installerów – programów umożliwiających automatyczne instalowanie innych aplikacji na urządzeniach klientów. Szczegóły techniczne odnaleźć można w raporcie firmy malware bytes [3], znajdziemy tam też stanowisko producenta urządzeń:
„Po zbadaniu problemu firma Unimax Communications ustaliła, że aplikacje opisane w poście nie są złośliwym oprogramowaniem… Jednak podczas przeglądania tych aplikacji firma Unimax Communications ustaliła, że w bibliotece aplikacji Ustawienia może istnieć potencjalna luka w zabezpieczeniach. Z tego powodu Unimax Communications zaktualizował oprogramowanie w celu usunięcia potencjalnej luki w zabezpieczeniach”.
Pod koniec lipca ten sam problem został odnaleziony w niskopółkowych urządzeniach ANS L51 oferowanych głównie na rynku amerykańskim [5]. Prowadzone obecnie dochodzenie ma dowieść czy złośliwe oprogramowanie zostało zainstalowane przez dostawcę, czy też zostało zainstalowane w systemie operacyjnym później w drodze przez łańcuch dostaw.
Preinstalowane aplikacje śledzące są oczywiście dużym problemem, nieświadomi użytkownicy płacą niewygórowaną kwotę za sprzęt, który w niekontrolowany sposób okrada ich z prywatności. Jeszcze większym problemem są jednak urządzenia, które okradają ich nie tylko z prywatności, ale także pieniędzy. Pod koniec sierpnia 2020 pojawiły się doniesienia na temat urządzeń oferowanych głównie w Afryce. Tanie chińskie smartfony Tecno W2, oferowane między innymi klientom w RPA, Egipcie, Etiopii, Ghanie i Kamerunie, były sprzedawane z zainstalowanym wcześniej backdoorem triada oraz trojanem xHelper. Ten pierwszy pozwalał na instalowanie dowolnego oprogramowania bez wiedzy właściciela, używając swoich możliwości instalował trojana xHelper. Złośliwe oprogramowanie zagnieżdżało się w systemie w sposób uniemożliwiający jego łatwe usunięcie. Przywracanie ustawień fabrycznych urządzenia w tym przypadku nie pomagało. Właściciel nowego telefonu notorycznie zasypywany był niechcianymi reklamami wyświetlającymi się na ekranie smartfona i zapisywany do płatnych usług, których nie zamawiał. Rzecznik firmy Transsion przyznał, że telefony Tecno W2 faktycznie zostały zainfekowane, obwiniając nienazwaną firmę podwykonawczą. Nie ujawniono, ile „wadliwych” urządzeń trafiło na rynek. Jednocześnie podkreślając, że firma nie czerpała korzyści z procederu generowania automatycznych subskrypcji.
Opinie prezentowane przez autora należą wyłącznie do niego. Nie są związane w żaden sposób z opinią i stanowiskiem jego pracodawcy.
[1] https://www.sammobile.com/news/samsung-patches-critical-bug-plaguing-smartphones-since-2014-may-2020-security-update/
[2] https://www.zdnet.com/article/more-pre-installed-malware-has-been-found-in-budget-us-smartphones/
[3] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
[4] https://www.kryptowire.com/kryptowire-discovers-mobile-phone-firmware-transmitted-personally-identifiable-information-pii-without-user-consent-disclosure/
[5] https://www.zdnet.com/article/more-pre-installed-malware-has-been-found-in-budget-us-smartphones/
[6] https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
Wiktor Sędkowski
ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
The Warsaw Institute Foundation to pierwszy polski geopolityczny think tank w Stanach Zjednoczonych. Strategicznym celem tej organizacji jest wzmocnienie polskich interesów w USA przy jednoczesnym wspieraniu unikalnego sojuszu między dwoma narodami. Jej działalność koncentruje się na takich zagadnieniach jak geopolityka, porządek międzynarodowy, polityka historyczna, energetyka i bezpieczeństwo militarne. The Warsaw Institute Foundation została założona w 2018 roku i jest niezależną organizacją non-profit, inspirowaną bliźniaczą organizacją działającą w Polsce – Warsaw Institute.
The Warsaw Institute Foundation is Poland's first geopolitical think tank in the United States. The strategic goal of this organisation is to bolster Polish interests in the U.S. while supporting the unique alliance between the two nations. Its activity focuses on such issues as geopolitics, international order, historical policy, energy, and military security. Established in 2018, The Warsaw Institute Foundation is an independent, non-profit organization inspired the twin Poland-based Warsaw Institute.
The Warsaw
