Классические сотовые телефоны российского бренда Digma оказались заражены вредоносным ПО. Мобильники не поддерживают установку приложений – опасный софт в них могли интегрировать на одном из этапов производства.
Уязвимость позволяет злоумышленникам, в том числе, отправлять SMS-сообщения и перехватывать входящие SMS, в том числе от банка. На проблему изданию указал собеседник, купивший телефон Digma для личного пользования. Понимание, что с телефоном что-то не так, пришло не сразу – лишь через месяц владелец аппарата заметил, что кто-то без его ведома зарегистрировал на его новый номер (приобретался вместе с телефоном) аккаунт в одном из популярных в России мессенджеров.
Выяснилось, что простой кнопочный мобильник, не имеющий ничего общего с современными смартфонами, регулярно и с вполне конкретной периодичностью в фоновом режиме подключается к удаленному серверу посредством мобильного интернета. После установки соединения телефон сливает ему данные об IMEI-номере устройства, названии оператора и идентификаторе SIM-карты.
В качестве ответа от сервера поступают различные команды – отправить SMS с конкретным текстом на конкретный номер и пр. А чтобы абонент ничего не заподозрил, ни входящие, ни исходящие сообщения, обработанные вредоносом, в памяти устройства не сохраняются.
Владелец телефона обратился в Digma и получил ответ, что компания отмечает «аномалии» в работе прошивки устройства. Но при этом компания не подтверждает наличие «дыры» в гаджете
Стоит отметить, что проблема встроенного в прошивку касается телефонов не только марки Digma. Так, в 2020 г. CNews писал, что в подобном был уличен китайский холдинг Transsion, владеющий, в числе прочего, популярным в России брендом смартфонов Tecno. А в 2021 г. «Коммерсант» сообщал об аналогичной ситуации с мобильниками брендов Dexp (принадлежит сети DNS) и Irbis.
В 2023 г. выяснилось, что сразу 50 известных производителей техники начали выпускать умную технику на базе Android с предустановленными вирусами и рекламным ПО. Они делают это против воли – хакерам удалось скомпрометировать производственный процесс и внедрить вредоносное ПО в прошивку устройств. Были инфицированы смартфоны, телевизоры, часы и даже ТВ-приставки – устройства распространились по всему миру и добрались до России. Количество опасных гаджетов исчисляется миллионами.
После публикации материала в редакцию CNews поступил комментарий Digma. Он приведен без изменений.
«В кнопочных телефонах Digma отсутствует функционал, который можно классифицировать как backdoor или встроенную уязвимость. В прошивку встроен функционал от стороннего российского сервиса, целью которого является обмен SMS-сообщениями фиксированного формата для персонализации доступных развлекательных и информационных сервисов в конкретном регионе – гороскопы, погода, анекдоты и т.д. Обмен сообщениями такого типа является полностью бесплатным для пользователей. Подключение платных услуг ведется только с явного согласия пользователя. Любой иной функционал, включая якобы скрытую регистрацию пользователей в мессенджерах, в устройствах Digma отсутствует. Наши маркетинговые исследования показывают, что вышеуказанный развлекательный функционал является наиболее востребованным среди пользователей кнопочных телефонов, таким образом, основным нашим намерением встраивания данного функционала в прошивку является улучшение клиентского опыта. Изъятие телефонов из продажи мы не планируем, так как не видим оснований для этого. Мы запланируем внеочередное независимое тестирование наших устройств на предмет поиска уязвимостей в прошивке кнопочных телефонов у крупных независимых компаний и опубликуем результаты».
Да, речь о Digma A172, потихоньку исследую третий месяц.
Бэкдор хороший: когда с сервера приходит команда на отправку СМС (или когда получена входящая СМС при установленном фильтре), визуально нет никакой индикации о каком-либо событии, предусмотрели даже скрытие иконки выхода в интернет ("G" у силы сети).
Данные шифруются RC5 с динамическим ключом, для обмена используется BSON.
На первых этапах функции СМС используются для того, чтобы узнать номер владельца: одному телефону, номер которого уже известен, сервер устанавливает фильтр входящих сообщений, а второму даёт команду на отправку СМС на номер первого. Первый телефон пересылает номер и текст полученного СМС на сервер. В тексте содержится уникальный идентификатор, позволяющий связать номер телефона с другими известными идентификаторами телефона.
Впоследствии вредонос может использоваться для регистрации аккаунтов в мессенджерах и на сервисах, требующих подтверждения по СМС, но происходит это не сразу — активность телефона отслеживается по времени с момента его включена, количеству принятых СМС и другим параметрам, чтобы затруднить обнаружение бэкдора.
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС — женщина на том конце подтвердила, что получила от меня СМС «с какими-то цифрами» и уточнила, что ранее SIM стояла в кнопочном телефоне, а сейчас установлена в смартфон.
Digma только что, после статьи в Коммерсанте, закрыла тикет с формулировкой «Так, закрыли обсуждение». До этого они утверждали, что интернет используется для обновления доступности и цен сервиса подписок Funbox, несмотря на то, что в более свежей прошивке, на телефон с которой зарегистрировали WhatsApp, его нет.
Флай на работе тоже был уличён. Отрубил ему в личном кабинете оператора мобильный интернет и СМС. А вот Самсунги старые (модель 1200 вроде) за десяток лет ни разу не попались. Сдыхают потихоньку, а достойной замены не видно.
Жизнь — это бег с препятствиями и чаще всего препятствие — это я сам!
сразу 50 известных производителей техники начали выпускать умную технику на базе Android с предустановленными вирусами и рекламным ПО. Они делают это против воли – хакерам удалось скомпрометировать производственный процесс и внедрить вредоносное ПО в прошивку устройств. Были инфицированы смартфоны, телевизоры, часы и даже ТВ-приставки – устройства распространились по всему миру и добрались до России. Количество опасных гаджетов исчисляется миллионами.
Читаешь этот выспренний корпоративный бред, и сразу вспоминаешь старый анекдот про обблёваный мундир и кучу в штанах.
Ага, "невиноватая йа-а-а!" Это всё кулхацкеры нам в штаны наделали!
Пользуюсь от случая к случаю Нокия-301 дуалсим или Нокия 1209.
Неубиваемые вечные агрегаты.
Нет такого самолёта в истории авиации, который не вернулся бы на землю...