В ряде российских брендов, специализирующихся на выпуске кнопочных телефонов нашли незадекларированные возможности, пишет «Ъ» по результатам исследования пользователя сайта Habr.
Исследование показало, что 80% кнопочных телефонов содержат незадекларированные опции, то есть возможность без разрешения пользователя отправлять платное СМС, перехватывать сообщение, а также регистрировать сторонних лиц в интернет-сервисах (4 из 5 устройств подвержены этому).
В частности, подобные проблемы с прошивкой характерны для российского бренда Irbis, а также Dexp SD2810 сети магазинов DNS. Кроме этого, существует российский бренд F+, который автоматически, без ведома пользователя отправляет СМС на определенный номер с информацией о номере устройства и сим-карте.
Большая часть, выпускаемых кнопочных телефонов имеет уязвимости, которые описаны в исследовании, заключил эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
Такое положение на рынке кнопочных телефонов преимущественно касается малоизвестных брендов, считает директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов
«Часто компании, которые выходят на рынок кнопочных телефонов, в целях экономии обращаются к малоизвестным разработчикам прошивки, и их недобросовестные сотрудники могут включить в код не декларированные функции», — добавил господин Чернов.
Телефоны нередко собираются в Китае, а производители кнопочных телефонов не всегда контролируют процесс сборки на наличие таких уязвимостей. Злоумышленники могут договориться о модификации телефонов из низшего ценового сегмента на этапе сборки, рассказал глава отдела кибербезопасности SearchInform Алексей Дрозд.
В целях прекращения действий незадекларированных опций следует не только усилить контроль конечной продукции, но и выпустить обновление прошивки. Снизить риски получения «модифицированного телефона» можно, для этого необходимо покупать его у официального дилера с сертификацией «Ростеста», советует инженер СorpSoft24 Михаил Сергеев.
Есть случаи получения двухфакторной авторизации при регистрации аккаунта в мессенджере, который может использоваться для распространения наркотиков или просто спама. Тогда для абонентов будет достаточно отключить мобильный интернет и платные подписки на сим-карте, которая будет использоваться в кнопочном телефоне, полагает Чебышев.