Multe persoane aleg telefoane mobile cu butoane, fără conectivitate la internet, în speranța că pot primi un dispozitiv care oferă doar o experiență de bază pentru convorbiri telefonice, însă un cercetător din domeniul securității din Rusia a descoperit că multe dintre aceste dispozitive au malware instalat direct în firmware. Au fost identificate patru modele de telefoane chinezești cu butoane care se vând în Rusia, care abonează utilizatorii la servicii prin SMS fără știrea lor, sau care trimit permanent date personale către servere ascunse.
VladikSS a publicat pe platforma rusească Habr descoperirile sale după ce a analizat traficul pe care dispozitive aparent „non-smart” îl fac pe internet fără știrea utilizatorilor. Acesta a testat modele chinezești precum DEXP SD2810, Itel it2160, Irbis SF63 și F+ Flip 3. Acestea sunt disponibile în ofertele magazinelor și operatorilor din Rusia și fiecare se comportă diferit atunci când este activat, însă toate par să „sune acasă” imediat ce sunt pornite. Analiza traficului a fost făcută cu o antenă 2G locală.
În cazul DEXP SD2810, telefonul se conectează la internet prin GPRS și trimite date precum IMEI și IMSI către un server. De asemenea, trimite SMS-uri ascunse către servicii „premium”, interceptând codurile de confirmare și trimițând răspunsuri. Utilizatorul nu vede niciun mesaj sau comportament ciudat al telefonului.
Itel it2160 accesează fără știrea utilizatorului un link online, care transmite IMEI-ul, țara în care este folosit, modelul, versiunea de firmware, limba și timpul de activare, cât și ID-ul antenei.
Irbis SF63 se conectează la un server pentru a anunța că telefonul a fost „activat”, după care ia numărul de telefon al utilizatorului și înregistrează cu ele conturi online pe diverse platforme, precum Telegram. De asemenea, poate să primească și să execute comenzi de la un server.
F+ Flip 3 trimite SMS-uri cu codurile IMEI și IMSI ale telefonului, dar nu ascunde foarte bine acest lucru. Mia mulți utilizatori s-au plâns de acest comportament în trecut.
Toate serverele care sunt contactate de aceste telefoane sunt în China, însă nu este tocmai clar cine instalează malware-ul în firmware. Ar putea fi producătorii care fac asta din fabrică, operatorii sau magazinele care le vând, sau pot fi alte companii care intermediază procesul de asamblare și distribuție între producător și magazinele în care ajung.
Mai grav este că nu există nicio autoritate în Rusia care să se ocupe cu plângeri în astfel de situații, conform VladikSS.
sursa: Habr, via The Record