REKLAMA

REKLAMA

Ogłoszenia(773) 763-3343

Strona główna The Warsaw Institute Foundation Ukryty koszt tanich smartfonów

Ukryty koszt tanich smartfonów

-

Pierwszy smartfon powstał ponad ćwierć wieku temu, w 1993 roku IBM wprowadził na rynek urządzenie o nazwie Simon. Był to telefon komórkowy z dotykowym ekranem i funkcjami „personal digital assistant” (PDA), który w latach 1993-95 znalazł się w posiadaniu ponad 50 tysięcy klientów. Przez kolejną dekadę rynek smartfonów znacznie się zmienił, w samym tylko 2007 roku klienci z całego świata kupili ponad 120 milionów tych urządzeń. Natomiast w przeciągu pięciu następnych lat (2008-2012) ponad 1,7 miliarda klientów zdecydowało się na zakup nowego smartfona. Niewiele mniej osób wymieniło bądź też zakupiło swój pierwszy smartfon w samym tylko 2019 roku.

Rynek tej części elektroniki, która na stałe zintegrowała się z naszym prywatnym oraz zawodowym życiem, jest ogromny. W ostatnich kilku latach sprzedaż smartfonów oscyluje w zakresie 1,500,000,000 rocznie. Oznacza to, że statystycznie co piąta osoba kupuje w danym roku nowy telefon. Samsung, Apple, Huawei i Xiaomi od dłuższego czasu niezmiennie wiodą prym w bitwie o klientów, dzieląc się rok w rok około 60% udziałów w rynku. Pozostałe 40% to często inne znane firmy z rynku IT, którym udaje się przebić w danym roku z innowacyjnym bądź atrakcyjnym cenowo produktem. Wszystkie te firmy łączy długofalowy plan, który zakłada utrzymanie klienta oraz dbanie o własną markę i reputację. Naturalnie każdemu producentowi zdarzają się wpadki. Przykładem może być luka bezpieczeństwa wykryta przez inżynierów Project Zero – należącej do Google grupy analityków specjalizujących się w wyszukiwaniu błędów w każdym typie oprogramowania (w tym oprogramowania stworzonego przez inne firmy niż Google). W maju 2020 Samsung opublikował aktualizację, naprawiającą błąd wykryty przez Project Zero. Błąd znajdował się w silniku graficznym Skia, który został zmodyfikowany przez Samsunga i był wykorzystywany we wszystkich smartfonach wyprodukowanych przez firmę między 2014 a 2020 rokiem. Atakujący przy użyciu specjalnie przygotowanych wiadomości MMS wykorzystując pliki graficzne .qmg mógł wymusić obejście zabezpieczeń ASLR obecnych w systemie Android i wykonać na nim dowolny kod, w praktyce doprowadzając do przejęcia kontroli nad urządzeniem. Proces ten nie był jednak trywialny i wymagał wysłania dziesiątek, jeśli nie setek wiadomości MMS. Warto jednak podkreślić, że po skutecznym ataku, wiadomości na zinfiltrowanym urządzeniu mogą zostać natychmiast usunięte a ofiara pozostanie kompletnie nieświadoma włamania. Samsung po uzyskaniu informacji o luce opublikował aktualizację dla swoich urządzeń [1].

REKLAMA

Niestety tego typu problemy nie są niczym wyjątkowym. W internetowej bazie podatności Common Vulnerabilities and Exposures (CVE) dla samego tylko systemu Android znajdziemy ponad 6.000 zgłoszonych błędów, które w różnym stopniu mogą zostać wykorzystane przez hakerów. Firmy technologiczne dbając o swoich klientów i markę rutynowo publikują aktualizacje mające na celu zapobiec wykorzystaniu wykrytych luk bezpieczeństwa. Niestety nie wszystkie. Przypomnijmy, że rynek smartfonów w około 40% należy do mniejszych firm, w zdecydowanej większości firm oferujących użytkownikom dobry i pozbawiony ukrytych wad sprzęt. Udział w walce o klienta biorą też gracze nieposiadający większego doświadczenia, wykorzystujący niesprawdzonych podwykonawców jako źródło sprzętu i oprogramowania. Oferujący sprzęt tani, ale pozbawiony wsparcia w postaci regularnych aktualizacji.

Znane są też przypadki dostawców sprzętu, który już do odbiorcy końcowego trafia z preinstalowanym złośliwym oprogramowaniem [2]. W styczniu 2020 specjaliści z Malwarebytes poinformowali o odnalezieniu złośliwego oprogramowania przeinstalowanego na urządzeniach Unimax UMX U686CL. Wyprodukowane w Chinach urządzenia trafiły do amerykańskich użytkowników programu Assurance Wireless, oferującego dopłaty do urządzeń mobilnych oraz dostęp do sieci komórkowej dla najbardziej potrzebujących. Urządzenia zanim trafiły do klientów zostały zainfekowane wariantem malware’u HiddenAds (Android/Trojan.HiddenAds.WRACT) oraz oprogramowaniem Android/PUP.Riskware.Autoins.Fota.fbcvd, które jest powiązane z chińska firmą Adups, złapaną [4] na nielegalnym procederze zbierania danych użytkowników, tworzeniu backdoorów dla urządzeń mobilnych i auto-installerów – programów umożliwiających automatyczne instalowanie innych aplikacji na urządzeniach klientów. Szczegóły techniczne odnaleźć można w raporcie firmy malware bytes [3], znajdziemy tam też stanowisko producenta urządzeń:

„Po zbadaniu problemu firma Unimax Communications ustaliła, że aplikacje opisane w poście nie są złośliwym oprogramowaniem… Jednak podczas przeglądania tych aplikacji firma Unimax Communications ustaliła, że w bibliotece aplikacji Ustawienia może istnieć potencjalna luka w zabezpieczeniach. Z tego powodu Unimax Communications zaktualizował oprogramowanie w celu usunięcia potencjalnej luki w zabezpieczeniach”.

Pod koniec lipca ten sam problem został odnaleziony w niskopółkowych urządzeniach ANS L51 oferowanych głównie na rynku amerykańskim [5]. Prowadzone obecnie dochodzenie ma dowieść czy złośliwe oprogramowanie zostało zainstalowane przez dostawcę, czy też zostało zainstalowane w systemie operacyjnym później w drodze przez łańcuch dostaw.

Preinstalowane aplikacje śledzące są oczywiście dużym problemem, nieświadomi użytkownicy płacą niewygórowaną kwotę za sprzęt, który w niekontrolowany sposób okrada ich z prywatności. Jeszcze większym problemem są jednak urządzenia, które okradają ich nie tylko z prywatności, ale także pieniędzy. Pod koniec sierpnia 2020 pojawiły się doniesienia na temat urządzeń oferowanych głównie w Afryce. Tanie chińskie smartfony Tecno W2, oferowane między innymi klientom w RPA, Egipcie, Etiopii, Ghanie i Kamerunie, były sprzedawane z zainstalowanym wcześniej backdoorem triada oraz trojanem xHelper. Ten pierwszy pozwalał na instalowanie dowolnego oprogramowania bez wiedzy właściciela, używając swoich możliwości instalował trojana xHelper. Złośliwe oprogramowanie zagnieżdżało się w systemie w sposób uniemożliwiający jego łatwe usunięcie. Przywracanie ustawień fabrycznych urządzenia w tym przypadku nie pomagało. Właściciel nowego telefonu notorycznie zasypywany był niechcianymi reklamami wyświetlającymi się na ekranie smartfona i zapisywany do płatnych usług, których nie zamawiał. Rzecznik firmy Transsion przyznał, że telefony Tecno W2 faktycznie zostały zainfekowane, obwiniając nienazwaną firmę podwykonawczą. Nie ujawniono, ile „wadliwych” urządzeń trafiło na rynek. Jednocześnie podkreślając, że firma nie czerpała korzyści z procederu generowania automatycznych subskrypcji.

Opinie prezentowane przez autora należą wyłącznie do niego. Nie są związane w żaden sposób z opinią i stanowiskiem jego pracodawcy.

[1] https://www.sammobile.com/news/samsung-patches-critical-bug-plaguing-smartphones-since-2014-may-2020-security-update/

[2] https://www.zdnet.com/article/more-pre-installed-malware-has-been-found-in-budget-us-smartphones/

[3] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/

[4] https://www.kryptowire.com/kryptowire-discovers-mobile-phone-firmware-transmitted-personally-identifiable-information-pii-without-user-consent-disclosure/

[5] https://www.zdnet.com/article/more-pre-installed-malware-has-been-found-in-budget-us-smartphones/

[6] https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware

Wiktor Sędkowski

ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.


The Warsaw Institute Foundation to pierwszy polski geopolityczny think tank w Stanach Zjednoczonych. Strategicznym celem tej organizacji jest wzmocnienie polskich interesów w USA przy jednoczesnym wspieraniu unikalnego sojuszu między dwoma narodami. Jej działalność koncentruje się na takich zagadnieniach jak geopolityka, porządek międzynarodowy, polityka historyczna, energetyka i bezpieczeństwo militarne. The Warsaw Institute Foundation została założona w 2018 roku i jest niezależną organizacją non-profit, inspirowaną bliźniaczą organizacją działającą w Polsce – Warsaw Institute.

The Warsaw Institute Foundation is Poland’s first geopolitical think tank in the United States. The strategic goal of this organisation is to bolster Polish interests in the U.S. while supporting the unique alliance between the two nations. Its activity focuses on such issues as geopolitics, international order, historical policy, energy, and military security. Established in 2018, The Warsaw Institute Foundation is an independent, non-profit organization inspired the twin Poland-based Warsaw Institute.


The Hidden Cost of Cheap Smartphones

The first smartphone was created over a quarter of a century ago, in 1993 IBM launched a device called Simon. It was a cell phone with a touch screen and a personal digital assistant (PDA) function, which between 1993 and 1995 was owned by more than 50,000 customers. Over the next decade the smartphone market has changed significantly. In 2007 alone customers from all over the world bought over 120 million of these devices. Over the next five years (2008-2012), more than 1.7 billion customers decided to buy a new smartphone. Only slightly fewer people replaced or bought their first smartphone in 2019 alone.

The market for this part of electronics, which has become permanently integrated into our private and professional lives, is enormous. In the last few years, smartphone sales have fluctuated in the range of 1.5 billion annually. This means that statistically every fifth person buys a new phone in a given year. Samsung, Apple, Huawei and Xiaomi have consistently led a battle for customers for a long time, sharing about 60% of the market share year to year. The remaining 40% are often other well-known companies from the IT market that manage to break through in a given year with an innovative or affordable product. All these companies share a long-term plan, which assumes keeping the customer in addition to taking care of their own brand and reputation. Naturally, every producer makes its own mistakes. One of the examples could be the security gap detected by the engineers of Project Zero – a group of analysts belonging to Google that specialize in finding bugs in every type of software (including the ones created by companies other than Google). In May 2020, Samsung published an update, which fixed the bug detected by Project Zero. It was located in the Skia graphic engine, which was modified by Samsung and has been used in all smartphones manufactured by the company between 2014 and 2020. By means of specially prepared MMS messages using .qmg graphic files hackers could bypass the ASLR security features present in the Android system and execute any code on it, in practice leading to taking control over the device. However, this process was not trivial and required sending tens if not hundreds of MMS messages. Nevertheless, it is worth noting that after a successful attack, the messages on the infiltrated device could be removed immediately and the victim would remain completely unaware of the hacking. After being informed about the vulnerability, Samsung published an update for its devices [1].
Unfortunately, such problems are nothing special. In the Common Vulnerabilities and Exposures (CVE) online database, for Android alone there are more than 6,000 reported bugs, which could be exploited by the hackers in varying degrees. Technological companies taking care of their customers and brand routinely publish updates to prevent the detected security vulnerabilities from being exploited. Unfortunately, not all of them. Let us recall that the smartphone market in about 40% belongs to smaller companies, in the vast majority – companies offering users good quality devices without hidden defects. Players with little experience, using untested subcontractors as a source of hardware and software also take part in the fight for the customer. They offer cheap devices which lack support in the form of regular updates.
There are also known cases of hardware suppliers, whose products reached the end user already with a pre-installed malware [2]. In January 2020, Malwarebytes specialists reported that they found preinstalled malware on Unimax UMX U686CL devices. They were manufactured in China and later distributed to American users of the Assurance Wireless program, which offered mobile device surcharges and mobile network access to those most in need. The devices were infected with a HiddenAds malware (Android/Trojan.HiddenAds.WRACT) and Android/PUP.Riskware.Autoins.Fota.fbcvd software, which is associated with the Chinese company Adups, caught [4] in the illegal process of collecting user data, creating backdoors for mobile devices and auto-installers – programs that enable automatic installation of other applications on clients’ devices. Technical details could be found in the report of Malwarebytes [3], along with the following position of the device manufacturer:
“After investigating this issue, Unimax Communications has determined that the applications described in the posting are not malware…In reviewing these applications, however, Unimax Communications has determined that there may be a potential vulnerability in the Settings App library. Because of this, Unimax Communications has updated software to correct the potential vulnerability.”
At the end of July, the same problem was found in low-end ANS L51 devices offered mainly in the US market [5]. The current investigation is to prove whether the malware was installed by the supplier or whether it was installed in the operating system later on through the supply chain.
Pre-installed tracking applications are of course a big problem – uninformed users pay an unreasonable amount of money for the hardware that steals their privacy in an uncontrolled way. However, an even bigger problem are the devices that rob them not only of their privacy but also of money. At the end of August 2020 there were reports about devices offered mainly in Africa. Cheap Chinese Tecno W2 smartphones, offered to customers in South Africa, Egypt, Ethiopia, Ghana and Cameroon, among others, were sold with previously installed Triada backdoor and xHelper Trojan. The former allowed to install any software without the owner’s knowledge – using its capabilities it installed the xHelper Trojan. The malware nested in the system in a way that made it impossible to remove it easily. Resetting the device to the factory settings did not help in this case. The owner of the new phone was notoriously flooded with unwanted ads displayed on the smartphone screen and was involuntarily subscribed to paid services. A spokesman for Transsion admitted that Tecno W2 phones were actually infected, blaming an unnamed subcontractor. It was not revealed how many “defective” devices had been placed on the market. At the same time, he stressed that the company did not benefit from the procedure of generating automatic subscriptions.
The opinions presented by the author belong exclusively to him/her. They are in no way related to the opinion and position of his/her employer.

Wiktor Sędkowski
graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.

REKLAMA

REKLAMA

REKLAMA

REKLAMA

REKLAMA

REKLAMA

REKLAMA

Enable Notifications    Ok No thanks