Бэкдор (?) в смартфонах BlackBerry на Android

в 12:38, , рубрики: android, blackberry, tcl, безопасность, бэкдор, информационная безопасность, китай, смартфоны

Бэкдор (?) в смартфонах BlackBerry на Android - 1

18 декабря пользователи смартфонов BlackBerry моделей KeyONE и Key2 обнаружили приложение "Apps", которое появилось без их явного согласия. Выяснилось, что его установило другое встроенное приложение под названием Preview, которое похоже на бэкдор от китайского производителя.

Почему паника?

Бэкдор (?) в смартфонах BlackBerry на Android - 2

Пользователи на форуме CrackBerry запаниковали (1, 2). Внезапно появившееся приложение "Apps" очень сильно смахивало на поддельную программу или имитатор альтернативного магазина приложений:

  1. Название "Apps" не говорит ни о чём
  2. Приложение не раскрывало даже своего происхождения, если пользователь не соглашался на разрешения
  3. Английский текст в интерфейсе был написан с ошибками

А вот что делает приложение Apps:

12 встроенных трекеров:

Tencent: 111com.tencent.bugly
Google: Crashlytics, Doubleclick, Ads, Firebase
Facebook: Ads, Analytics, Login, Share, Places
myTarget: com.mytarget.
Twitter: MoPub

Разрешения (под контролем пользователя): Camera, Contacts, Location, Phone, SMS, Storage
Разрешения (не поддающиеся контролю): Full Network access, run at startup, retrieve running apps, view wifi connections, set wallpaper, Play Install Referrer API, close other apps, measure app storage space, control vibration, expand/collapse status bar, and com.tcl.live.permission.Access_Download_manager

Хосты, к которым пытается подключиться Apps в фоне:

TCL:
dg.udc.us.tclclouds.com/443
gwrtdp-tn690fadt.tclcloud.com/443
appcenter-13.tclclouds.com/80 (This one is required to show apps in the "Apps" Store, note its unencrypted.)
cleanportal.tclclouds.com/443
gwrtdp.tclclouds.com/443
platform.tclclouds.com/80
equipment.tclclouds.com/80
sec.tclclouds.com/443
apk.aotclouds.net/80 (This one is required to download the apks, note it's unencrypted)

Facebook:
graph.facebook.com/443

Google:
googleads.g.doubleclick.com/443
app-measurement.com/443

Crashyltics:
settings.crashlytics.com/443

Tencent:
android.bugly.qq.com/80

Unknown:
ad-api.ehawk.com/80
mibc-gtp.bigdatapppp.com/80

(информация от пользователя chetmanley на форуме CrackBerries)

Через некоторое время стало понятно, откуда взялось приложение Apps: его установило другое системное приложение под названием Preview.

Что за Preview?

Бэкдор (?) в смартфонах BlackBerry на Android - 3

Изначально на устройствах BlackBerry на Android от BlackBerry, Ltd. это было просто справочное приложение, которое объясняло, как пользоваться устройством с клавиатурой, а так же некоторыми другими фичами. Приложение с таким же внешним видом и названием поставлялось и с новыми телефонами BlackBerry, которые по лицензии выпускала китайская компания TCL. Никто не придавал этому приложению особого внимания до прошлой недели.

Бэкдор (?) в смартфонах BlackBerry на Android - 4

На Preview от TCL (последняя версия — 8.0.1132.99) не действует система разрешений. К примеру, у него нет разрешения на установку приложений, но оно всё равно устанавливает приложения (например Apps).

Бэкдор (?) в смартфонах BlackBerry на Android - 5

У приложения нет разрешения на показ уведомлений, но оно показывает уведомления о "доступных обновлениях" (на самом деле — предложение об установке) для китайских приложений CleanMaster и Likee. Впрочем, нельзя утверждать, что будут установлены именно эти приложения, поскольку установка идёт в обход Google Play. Даже для пользователей, не связанных с Россией, описания приложений в Preview были на русском языке (что сразу вызвало у западных пользователей бурю ассоциаций с китайско-русскими хакерами).

Бэкдор (?) в смартфонах BlackBerry на Android - 6

Кроме того, само приложение Preview потребляет значительное кол-во заряда аккумулятора (до 6% в сутки) и расходует траффик, не отключается штатными средствами, не реагирует на запрет автозапуска через PowerCenter, не отключается через ODB (на модели Key2); его деятельность не отслеживается фирменным защитным средством DTEK, которым гордились телефоны BlackBerry.

Реакция BlackBerry и TCL

Никаких заявлений от BlackBerry Ltd. (разработчиков софта) и TCL (владельца лицензии на торговую марку BlackBerry Mobile, которая фактически выпускает сейчас телефоны BlackBerry) не последовало, на вопросы в Twitter компании так же не отвечали.

Однако уже 21го декабря Preview перестала предлагать к установке Apps, а затем и CleanMaster, оставив в рекомендациях к "обновлению" только Likee.

Единственные около-официальные заявления делал амбассадор форума BlackBerry под ником conite, утверждая, что TCL как производитель телефонов имеет право делать с телефонами всё что им захочется, и пользователь должен доверять производителю устройства или не пользоваться им вообще.

Итоги

Несмотря на позиционирование смартфонов BlackBerry как "самых защищённых смартфонов", за безопасность которых отвечает BlackBerry Ltd., фактически в телефоне обнаружился бэкдор, через который вендор TCL может устанавливать любое ПО.

Сама по себе возможность вендора отправлять софт на телефон не является новой ситуацией. Но в данном случае мы увидели, что к этому каналу (бэкдору) получил доступ недостаточно квалифицированный персонал, который установил одно нерелевантное ПО и попытался продвинуть ещё два партнёрских продукта. Всё это не относилось ни к обновлениям, ни к необходимому функционалу телефона.

Приходится смириться с тем, что бренд BlackBerry для защищённых смартфонов окончательно потерял всякую актуальность.

P.S.: Я был первым на CrackBerries, кто обратил внимание на проблему с неизвестным приложением Apps, и форумчане даже поначалу убеждали меня, что меня взломали или я установил какое-то левое приложение, потому что сложно было поверить в такое поведение "самого безопасного смартфона на Android".

Автор: wtigga

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js