Фото ValdikSS
Пользователь «Хабра» c ником ValdikSS выяснил, что кнопочные телефоны, продающиеся в России, выходят в интернет без ведома пользователей, перехватывают СМС, а также могут использоваться злоумышленниками для регистрации на различных сервисах с вашим номером телефона.
Автор расследования купил шесть телефонов разных производителей:
- Inoi 101 за 600 рублей;
- DEXP SD2810 за 699 рублей;
- Irbis SF63 за 750 рублей;
- Itel it2160 за 799 рублей;
- F+ Flip 3 за 1499 рублей.
Для «звонилок» сейчас производят микросхемы две основные компании — MediaTek и Spreadtrum. Еще была RDA Microelectronics, но последняя ее поглотила. По этой причине ValdikSS считает, что нет смысла проверять сотни телефонов — достаточно купить несколько моделей с чипами разных производителей.
На исследование его подтолкнули многочисленные отзывы на форумах и в онлайн-магазинах, а также статья читателя TJournal, который столкнулся с тем, что кто-то зарегистрировал Telegram-аккаунт, перехватив СМС с телефона бабушки.
Скриншот из «Яндекс.Маркета»
Как оказалось, только на Inoi не было скрытых вредоносных функций. Itel it2160 тайно подключается к интернету и передает данные о факте продаже, отсылая производителю IMEI, страну, модель, версию прошивки и идентификатор базовой станции. F+ Flip 3 тоже это делает, но другим методом — он отправляет как минимум IMEI и номер телефона пользователя в сообщении на номер +79584971255. Причем это происходит после каждого сброса настроек устройства или даже извлечения аккумулятора.
Скрытая отправка SMS
С DEXP SD2810 оказалось все сложнее. Он самопроизвольно подключается к GPRS, хотя поддержка интернета не заявлена, да и браузера нет. Телефон связывается с серверами в Китае и выполняет их команды, а также отправляет платные SMS. Irbis SF63 тоже выходит в интернет и передает зашифрованные данные на китайские серверы, позволяя использовать номер пользователя для регистрации в онлайн-сервисах.
Чтобы выявить такое поведение, ValdikSS декомпилировал и проанализировал прошивки. Кроме того, он собрал станцию перехвата и просмотра сотового трафика из радиоплаты bladeRF x115 и мини-компьютера Raspberry Pi 400.
Самый простой способ проверить свой телефон — включить его на сутки, а затем заказать у мобильного оператора детализацию активности и проверить, есть ли там отправленные без ведома СМС. Жалобы производителям результата не дали — они попросту советуют обратиться в сервисный центр для перепрошивки.
