Security Week 27: Поддельный айфон и цена безопасности

19 июля издание Motherboard опубликовало ^[1] интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы качественная, но старательная, начиная с коробки и заканчивая иконками. Сфотографированный в темноте, телефон и правда можно спутать с оригиналом.

Естественно, когда начинаешь его использовать, все становится ясно. Телефон не очень быстр, из-под Apple-подобного интерфейса выскакивают сообщения о том, что «сервисы Google прекратили работу». Копия продвинутой системы распознавания лиц разблокирует смартфон от любого лица и похожего на лицо предмета, а скругленные края дисплея и площадка с сенсорами и динамиком эмулируются (!) программно. Журналисты Motherboard обратились к специалистам с просьбой оценить безопасность смартфона, и те нашли там, если переводить буквально, какую-то «дичь». Спойлер: никакой дичи там нет, просто много безответственного кода, показывающего, что в дешевом смартфоне данные пользователя тоже защищены на три копейки.

Даже как-то оригинально сделано, с огоньком!

Не буду пересказывать всю историю — почитайте в оригинале или просто посмотрите картинки. Дешевый смартфон хоть и пытается выглядеть, как брендовый аппарат за тысячу долларов, но остается стодолларовым девайсом. Работает, как выяснилось, на Android 6 с сильно модифицированным лончером. При первом запуске достоверно воспроизводит диалог первоначальной настройки, как на настоящем айфоне. Причем настройки, присутствующие в Android, честно меняются из этого меню. То, чего в Android не существует, вежливо, но молча игнорируется.

Собран телефон на заклепках. Если вам не нравится, что в современных (настоящих, а не как тут) смартфонах все посажено на клей, то вот вариант похуже. Телефон просто одноразовый, разобрать его можно только кусачками, собрать не получится вообще. Почему? Так дешевле.

Обещанные автором бэкдоры и вредоносные программы там как бы есть, но тут все зависит от интерпретации. Статья в части про безопасность немного теряет боевой задор, и можно предположить, что ничего ужасного в стодолларовой копии iPhone X не нашли. Смартфон был отдан на исследование специалистам компании Trail of Bits — посмотреть, что там с безопасностью. Исследователь Крис Эванс поделился своими находками в отчете, который показали журналистам, но публиковать не стали.

А что нашли-то? Приложения типа «Компас» и «Часы» имеют слишком много полномочий (о ужас!). Поддельный браузер, мимикрирующий под Safari, имеет встроенную фичу удаленного запуска и выполнения кода. Это можно, не особо стесняясь, назвать бэкдором, хотя не факт, что он был вставлен с вредоносными намерениями. Просто такой кривой дебаг-интерфейс. В публикации цитируются слова специалиста, которые подтверждают именно такую версию: телефон не обязательно «вредоносный». Просто какая-либо «безопасность там отсутствует».

И не то чтобы мы пытаемся встать на защиту поддельного айфона. Скорее наоборот, в тексте упоминается ПО для удаленного обновления телефона Adups, которое уже пару лет известно своим вольным обращением с пользовательскими данными, вплоть до отправки истории звонков в Китай (вот новость ^[5], вот исследование ^[6] компании Kryptowire). Но отсутствие конкретики и попытка раздуть из мухи слона в оригинальной публикации Motherboard вызывает легкую… как бы поточнее выразиться… пожалуй, фрустрацию. Специалисты по безопасности «исходили из того, что устройство, скорее всего, небезопасно» и хранили его в сумке, изолирующей радиоизлучение. Ну да, да, без клетки Фарадея тут никак не обойтись.

Недавно в блоге «Лаборатории» появился пост ^[7] с неплохой подборкой примеров того, насколько дешевые смартфоны, даже если они не пытаются казаться айфонами, бывают небезопасными. У меня из всех этих историй есть два, надеюсь, в меру оригинальных вывода. Во-первых, чем дешевле телефон, тем хуже защита. Тем вероятнее используется OEM-прошивка, тем чаще она накатывается кривыми руками, тем скорее там забудут закрыть какой-нибудь дебаг-интерфейс, который шлет какие попало личные данные кому угодно.

Во-вторых, у людей с минимальными познаниями в сфере информационной безопасности невероятно высокие требования к защите данных. Нас, если уж на то пошло, и флагманские телефоны, где все гораздо лучше, не всегда устраивают. Мы подсчитываем ^[8] трояны в магазине Google Play, обсуждаем методы ^[9] обхода защиты от копирования данных с айфона через USB-порт и другие разные тонкости. А у сотен тысяч недорогих телефонов речь идет даже не о взломе: доступ к чужим данным там, кажется, штатная функция. Какое-то «улучшение защиты» в случае с флагманским смартфоном обойдется в 5% его стоимости. Для дешевого телефона это будет подорожание в два раза.

Жалко, что в публикации Motherboard не исследован подробно один момент. В процессе «настройки айфона» пользователю предлагают ввести логин и пароль от сервиса iCloud, который на андроиде, понятное дело, не работает. А что тогда с этими данными происходит? В лучшем случае они, как и другие специфичные для iPhone вещи, не сохраняются никуда. В худшем… Ну вы понимаете, что происходит.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник ^[10]