Как в «Черную пятницу» Android-планшеты атаковали покупателей вирусами и дырами в системе защиты

Роман Юрьев avatar | 17
FavoriteLoading В закладки
Как в «Черную пятницу» Android-планшеты атаковали покупателей вирусами и дырами в системе защиты
01-Android-Tablets-Hell-Sale

«Черная пятница» — это словосочетание для каждого американца, да и для многих граждан других стран, знакомых с покупками в США, звучит как настоящая музыка, которая приведет в волшебный мир супердешевых товаров, могучих скидок, в рай для шопоголика. Но даже в столь знаменательный день «дешево», не всегда означает вкусную цену на хороший товар. Зачастую под видом акций и распродаж народу очень дешево предлагается соответствующий такой цене продукт не первой свежести и не лучшего качества. В особенности это касается популярных мобильных устройств, в данном случае — планшетов.

В частности, работающая в сфере сетевой безопасности компания Bluebox Labs проверила продающиеся в рамках «Черной пятницы» планшеты в таких магазинах как Amazon, Best Buy, Kmart, Kohl’s, Staples, Target и Walmart. Итоги теста оказались интересными и сочно сдобренными дефектами защиты ОС и вирусами в новых устройствах. Вот он — дикий оскал «Зеленого робота».

02-Android-Tablets-Hell-Sale

Во всех представленных в рамках акции планшетах, изученных Bluebox, есть те или иные уязвимости в ОС Android, включая Masterkey, FakeID, Heartbleed и Futex. Более половины из них были проданы с неверными конфигурациями настроек безопасности или с установленными на них активными вирусами.

Именно ребята из Bluebox выявили в прошлом году уязвимость Masterkey, которая превращает Android-планшет в зомби-бот, и этим летом обнаружили дыру FakeID в безопасности платформы.

Конечно, Google уже выпустила патчи для обеих проблем, а также для багов Heartbleed и Futex. Но поражает именно тот факт, что популярные магазины активно продвигают такие планшеты, в которых уязвимости не только не исправлены, но и активно функционируют. Некоторые планшеты также поставляются с активными эксплойтами, управляемыми удаленно. На таких гаджетах заблокирован доступ к Google Play и деактивирован ряд функций системы безопасности, которые Google реализовала в Android.

В BestBuy творится ад

Среди самых слабых в плане защиты устройств — планшет DigiLand, который можно купить в BestBuy. В нем установлена версия Android, подписанная тестовым ключом Android Open Source Project. По словам исследователей, этого ключа не должно быть в ПО выставленных на продажу устройств. Ведь его легко используют злоумышленники для внедрения троянских программ под видом стандартного обновления ОС.

Этот же планшет поставляется и с включенной опцией USB-отладки, да еще и с root-правами. Гикам-то классно — не надо заморачиваться со взломом устройства, оно уже взломано изначально, но ведь такие люди и прекрасно знают как защитить свой гаджет от потенциальных проблем, чего не скажешь о большинстве охотников за скидками. Такие фактически покупают себе серьезную проблему, способную передать злоумышленникам массу личных данных, включая пароли от учетных записей в социальных сетях, от почты, данные кредитных карт и т. п.

Реклама гаджета тоже под стать. Весьма устаревшее по характеристикам устройство с дисплеем с разрешением 1024х600 точек (меньше, чем в iPad mini первого поколения и оригинальном iPad вышедшем четыре года назад) позиционируется как планшет, который отображает контент «во всех мельчайших деталях». Еще там говорится о могучем 4-ядерном процессоре MediaTek и GPU ARM Mail 450, но их «могучесть» весьма условна. А еще в описании упоминается, что 92% (!) покупателей рекомендовали бы этот продукт своим друзьям. Я бы точно не рекомендовал.

В Target, Kmart, Kohl’s, Staples, Walgreen тоже «палятся»

Планшеты RCA Mercury на базе Android, которые можно увидеть в Target, поставляются с двумя известными уязвимостями, также как и устройство Mach Speed Xtreme в Kmart. Во втором планшетнике, кстати, защита, не позволяющая устанавливать на нем вредоносные приложения из сторонних источников, отключена изначально.

03-Android-Tablets-Hell-Sale

Мобильный Android-гаджет Zeki, который продается в Kohl, оказался самым плохим из всех предложенных в рамках распродаж устройств. Он открыт перед четырьмя основными уязвимостями в системе безопасности платформы Android. В нем по умолчанию включена функция USB-отладки, нет никакой защиты от троянов класса Android.Backdoor, прошивка подписана ключом для тестирования AOSP, а также заблокирован доступ к Google Play, что заставляет пользователя обращаться к сторонним магазинам приложений, где зачастую ПО вообще никак не контролируется и есть масса зараженных экземпляров.

На страничке Kohl планшет Zeki изображен с приветливо машущим нам зеленым роботом, а в описании говорится, что на устройстве есть поддержка Google Play и некоторых других фирменных сервисов Google, несмотря на то, что Zeki является AOSP-планшетом, независимым от Google.

04-Android-Tablets-Hell-Sale

В магазине Staple продается гаджет Mach Speed JLab Pro–7. Это планшет с Android 4.4.2 на борту. Но в данном случае, по словам исследователей из Bluebox, ОС изменена таким образом, чтобы отключить все интегрированные Google в прошивку 4.4.2 защитные функции (включая и патч, который не позволяет воровать пользовательские данные с помощью подключения к планшету через USB-порт). В этом дешевом устройстве также активирован режим разработчика (с возможностью модифицировать прошивку) и по умолчанию включена опция USB-отладки.

Еще одно специальное предложение для этой «Черной пятницы», планшет Polaroid A7, продающийся в Walgreen, это та же модель, что предлагается и на Amazon. Как и описанный выше, данный гаджет уязвим перед всеми четырьмя основными багами системы безопасности Android. Ему исследователи присвоили самый низкий показатель Trust Score в рейтинге доверия среди всех рассмотренных планшетных компьютеров.

По словам представителей Bluebox, в нем уже установлены Root-права и приложение Superuser, что позволяет злоумышленнику получить неограниченный доступ к системе даже без необходимости устанавливать в Polaroid A7 нужный эксплойт. К тому же по умолчанию в этом устройстве отключены настройки приватности, которые защищают планшет от установки вредоносных программ со сторонних магазинов приложений.

На Amazon и Walmart самый широкий выбор «плохих» планшетов

На сайте Walmart ребята из Bluebox купили несколько планшетных компьютеров, включая и предложение дня, Pioneer. Он поставляется покупателям с двумя известными, но не исправленными уязвимостями. Аналогичная история с планшетами Ematic и RCA, в которых обнаружены три упомянутые уязвимости, а также с Nextbook с двумя уязвимостями. Последний, кстати, получил звание «одного из лучших устройств в списке худших».

Планшетник Worryfree Gadgets Zeepad, который также можно купить в Walmart, продается с двумя самыми серьезными уязвимостями в системе безопасности платформы Android — с активированной функцией USB-отладки и с установленным сервисом для обхода защиты от Blackdoor-атак.

05-Android-Tablets-Hell-Sale

Ко всему, команда Bluebox обнаружила, что некоторые из рассмотренных планшетов поставляются и с установленными на них потенциально опасными приложениями и вредоносным рекламным ПО, включая пиратскую версию Angry Birds, модифицированную производителем самих планшетов.

Это значит, что сам производитель мог модифицировать приложение Angry Birds так, что оно собирало больше данных о пользователе, чем входило в намерения разработчика игры. Данная модификация также не позволяла пользователям получать обновления от настоящего разработчика, поскольку ключи подписи уже были другими.
Представители Bluebox

Bluebox Labs предлагает сканер безопасности для «плохих» Android-планшетов

Компания Bluebox предлагает в Google Play свое приложение Trustable. С его помощью пользователь может оценить проблемы с безопасностью и настройками своего устройства. Ребята также предлагают систему помощи Android User Security Guide для Android 4.0 и более поздних версий прошивки. В ней описаны возможные решения потенциальных проблем с безопасностью, включая работу с NFC или DLNA, а также с функцией зеркалирование экрана в устройствах Samsung.

По словам представителей компании, более дорогие Android-планшеты защищены от упомянутых уязвимостей. Среди наиболее надежных устройств они назвали недорогой Samsung Galaxy Tab3 и новинку Nexus 9 от HTC.

Однако большая часть поставляемых на рынок Android-планшетов — это именно дешевые устройства, зачастую с AOSP-прошивкой, ориентированные на использование приложений из сторонних магазинов ПО. А некоторые из них и вовсе предназначены именно для того, чтобы воровать данные у ничего не подозревающих пользователей.

А что с iPad и каковы выводы?

Вывод исследователей из Bluebox Labs прост:

Стоит помнить, что не все устройства одинаково безопасны. В Bluebox Labs нередко сталкиваются с дешевыми Android-гаджетами с низким уровнем защиты от вредоносного ПО. Мы рекомендуем избегать таких продуктов, если это возможно. В противном случае мы советуем использовать их исключительно для малоопасных действий, таких как простые игры, медиа-развлечения и посещение безопасных сайтов. Владельцам стоит воздержаться от использования услуг онлайнового банкинга, покупок и хранения информации на подобных устройствах. Если вы все же делаете это, вы подвергаете свои личные данные риску.
Представители Bluebox

Также компания предлагает краткий справочник по безопасности iOS, использованию NFC в продуктах Apple, коллективному доступу к файлам через AirDrop и функции дублирования экрана AirPlay. Все эти особенности команда Bluebox считает достаточно надежными и не настаивает на их отключении в целях безопасности пользовательских данных.

Также у Bluebox нет сканера уязвимостей для iOS, так как он в данном случае не нужен. Этой платформе не грозят такие уязвимости как Masterkey, FakeID, Heartbleed или Futex. Более того, Apple не лицензирует iOS сторонним компаниям и регулярно выпускает обновления системы безопасности для платформы. [ai]

Как видите, даже в «Черную пятницу» дешево не значит — хорошо. В данном случае может сработать правило, что «скупой платит дважды». Ладно если люди покупают дешевый планшет ребенку для игрушек, но когда такие устройства используются для оплаты покупок в Сети, входа в личный почтовый ящик, учетные записи в социальных сетях, к чему удивляться, что с карточек деньги пропадают и творится странное? О качестве работы дешевых Android-устройств я вообще молчу. Кто-то жалуется на «тормоза» в iOS 8 на iPad mini первого поколения или же iPad 3Gen, так вот они работают просто божественно на фоне большинства дешевых и безымянных планшетов из Поднебесной. Первые три дня радуешься, что за копейки купил многофункциональное устройство, а потом понимаешь простую вещь — ты просто зря выбросил деньги.

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
«Черная пятница» — это словосочетание для каждого американца, да и для многих граждан других стран, знакомых с покупками в США, звучит как настоящая музыка, которая приведет в волшебный мир супердешевых товаров, могучих скидок, в рай для шопоголика. Но даже в столь знаменательный день «дешево», не всегда означает вкусную цену на хороший товар. Зачастую под видом...
Прокомментировать

🙈 Комментарии 17

  1. hiZis avatar
    hiZis27 ноября 2014
    0

    На нашем рынке бюджетных планшетов наверняка такая же ситуация.

  2. Napka avatar
    Napka27 ноября 2014
    0

    Как бывший владелец телефона LG скажу: нафиг такое счастье. Кстати, спустя пол года нашелся наконец-то человек, которому он был нужен и я его подарил.
    Про весь андроид не скажу — всё, таки его надо судить, наверное, по нексусам, но подобный хлам больше покупать не буду.

    MAXiDROME avatar
    MAXiDROME27 ноября 2014
    0

    @Napka, у товарища какой-то нексус, как раз производства LG – я повертел в руках, шибко понравился, все четко, без тормозов, хороший экранчик. да и в руке удобно лежит, не то, что нынешние ифоны6. надеюсь, и эппл когда-нибудь выпустит подобное, а не будет делать недо-самсунги

    Napka avatar
    Napka27 ноября 2014
    0

    @MAXiDROME, слишком толсто.

    MAXiDROME avatar
    MAXiDROME29 ноября 2014
    0

    @Napka, не толсто, мой 4s уже весь пошарпан, хотел обновиться, но шестерку не хочу категорически. придется брать 5s

    Makarov avatar
    Makarov27 ноября 2014
    0

    @Napka, хорошо бы уточнить, какой именно LG. Неужто G3??

    Napka avatar
    Napka27 ноября 2014
    0

    @Makarov, уже не помню, но что-то самое свежее на тот момент.

  3. bezromval avatar
    bezromval27 ноября 2014
    0

    Какая-то странная новость. К чему она?

  4. sl2208 avatar
    sl220827 ноября 2014
    0

    “Зачастую под видом акций и распродаж народу очень дешево предлагается соответствующий такой цене продукт не первой свежести и не лучшего качества.”

    А еще у них негров убивают , давеча вон в Фергюсоне убили.
    Куда катится эта страна и Android))))

  5. TonyManty avatar
    TonyManty27 ноября 2014
    0

    Начало Black Friday – geekbench 3 обесценился )

  6. akuba avatar
    akuba27 ноября 2014
    0

    какой не прикрытый наезд и антипиар андроида :) а вы, господин Юрьев, просто андроидоненавистник какой то :))

    akuba avatar
    akuba27 ноября 2014
    0

    @akuba, а может это заказ? ;)

    Jey499 avatar
    Jey49927 ноября 2014
    0

    @akuba, как раз-таки Роман пользуется Андроидом

  7. direless avatar
    direless27 ноября 2014
    0

    Загадочная статья. В чорную, чорную пятницу на чуждой нам американщине продается неведомый китайский хлам с не пойми каким софтом (а чо вы хотели за 50 баксов). Но заголовок статьи какой – в лучших традициях желтой прессы – Андроед атакует покупателей дырами (?) и вирусами !! Какой кошмар. Пойду за айфоном за 60 тыров.

  8. Michae1 avatar
    Michae127 ноября 2014
    0

    Лох не мамонт, не вымрет. ибо по-другому назвать таких людей которые ведутся на низко дешёвый товар, я не могу^^
    Особенно на новогодний развод в нашей стране)))

  9. katsstak avatar
    katsstak27 ноября 2014
    0

    АМЕРИКА страна лис и баранов. В НАШЕЙ РОССИИ с детских лет учат, что бесплатный (да и дешевый) Сыр бывает только с дальнейшими проблемами! Но и у нас люди нажигаються. Но американская пятница это день лузера.

  10. Jaster avatar
    Jaster28 ноября 2014
    0

    Никто не заметил ключевую фразу?:

    Bluebox Labs предлагает сканер безопасности для «плохих» Android-планшетов

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь