Levné čínské smartphony špehují uživatele a odesílají citlivá data

  0:09aktualizováno  0:09
Svět je zaplaven smartphony nejrůznějších značek a čínský přístroj s obstojnou výbavou lze koupit již za v přepočtu 1 500 korun. Levné přístroje s čínským softwarem však mívají zadní vrátka, kudy jsou osobní data uživatelů odesílány na vzdálené servery. Upozornili na to zástupci společnosti Kryptowire.

Nejlevnější čínské smartphony mohou odesílat citlivá data na vzdálené servery. | foto: androidheadlines.com

Nechtěným bonusem v podobě softwarové díry, přes kterou systém pravidelně odesílá uživatelská data na čínské servery, nechvalně proslul smartphone značky BLU již loni v listopadu. Konkrétně to byl model R1 HD, který Amazon ve Spojených státech prodával za symbolických 50 dolarů (aktuálně je cena 60 dolarů).

Za ty zákazník obdržel telefon s pětipalcovým HD displejem, čtyřjádrovým čipem MediaTek, 2 GB operační paměti a 8MPix fotoaparátem. Firmware telefonům upravila čínská společnost Shanghai Adups Technology, která však, jak se později ukázalo, do systému přidala i funkci pro sledování uživatelů.

Tento vestavěný špion ukládal polohu uživatele, jeho telefonní hovory, seznam kontaktů, obsah textových zpráv, aktivitu na webovém prohlížeči a další. Všechna získaná soukromá data pak každých 72 hodin putovala na čínské servery.

Byla to chyba, kterou jsme odstranili, bránil se Adups

Když loni společnost Kryptowire na problém upozornila, dodavatel softwaru jej nazval chybou. Americké úřady v závěru své analýzy pouze konstatovaly, že není zřejmé, zda šlo o získávání dat pro reklamní účely, nebo o snahu čínské vlády dolovat citlivá data od amerických uživatelů.

Samotná společnost Shanghai Adups Technology uvedla, že jejich kód je přeinstalován na více než 700 milionech zařízení, kromě smartphonů to jsou i automobily a další chytrá zařízení. Zástupci společnosti BLU tehdy uvedli, že bylo dotčeno přibližně 120 tisíc jejich přístrojů.

Viceprezident společnosti Kryptowire Tom Karygiannis pak upozornil, že uživatelé neměli šanci špionážní aktivitu svých smartphonů odhalit, a hovořil o nevídaném útoku na jejich soukromí.

Chybka se „vloudila“ i na jiné smartphony

Po více než půlroce problém s odesíláním citlivých dat ze smartphonů čínské straně opět ožívá. V minulých dnech proběhla v Las Vegas konference věnovaná softwarové bezpečnosti a během ní zástupci společnosti Kryptowire upozornili, že softwarová zadní vrátka byla odhalena i u dalších smartphonů, jež jsou vybaveny softwarem od stejného dodavatele.

Princip je stále stejný, dotčené telefony nadále odesílají citlivá data na vzdálené servery v Šanghaji. Jediným rozdílem je, že to nyní dělají sofistikovaněji a odhalení je komplikovanější.

Ryan Johnson, spoluzakladatel firmy Kryptowire, během konference dále uvedl, že skrytého špiona v sobě mají nejméně tři další smartphony se softwarem od společnosti Adups Technology. Její mluvčí však v reakci na tato zjištění pouze uvedl, že byl zjištěný problém odstraněn již loni a nyní už neexistuje.

Odesílání dat probíhá přes příkazový a řídicí kanál, který společnosti Adups umožňuje danému přístroji udělovat prakticky libovolné pokyny. Kromě odesílání uložených dat mohou na přístroj také instalovat aplikace, pořizovat snímky obrazovky nebo uskutečňovat hovory.

Kryptowire v rámci svého šetření zkoumal více než dvacítku různých firmwarů, které jsou použity u levných smartphonů s Androidem, které měly onu softwarovou díru, jež otevírala zadní vrátka k uloženým datům a vlastně veškerému provozu daného telefonu.

Všechny tyto smartphony přitom byly vybaveny čipovou sadou MediaTek. Levné čínské přístroje jsou zpravidla vždy osazeny některým základním čipem právě od tohoto výrobce. Zjištěno také bylo, že sledování telefonu a jeho provozu umožňoval obslužný software čipové sady s názvem MTKLogger.

Stejně jako zástupci firmy Adups byli i představitelé MediaTeku skoupí k podrobným vyjádřením a jen uvedli, že problém byl eliminován již v listopadu.

To však odporuje zjištěním Kryptowiru, že i novější model BLU Advance 5.0 je stále dodáván se zranitelnou verzí uvedené aplikace. Smartphone je opět v prodeji na Amazonu, jeho pořizovací cena je také 60 dolarů a aktuálně je v rámci tohoto internetového obchodního giganta třetím nejprodávanějším smartphonem. Aktualizace, která by zranitelnost zastavila, přitom není k dispozici.

Zatím nebylo zjištěno, že by MTKLogger přímo stál za odesíláním citlivých dat bez vědomí uživatele, jeho zranitelnost přesto podle Kryptowiru přetrvává.

Zranitelnost u levných smartphonů trvá

Sám Ryan Johnson si letos v květnu, tedy šest měsíců poté, co Adups Technology garantovala odstranění části kódu, který odesílal data z telefonu do Číny, přes známého prodejce elektroniky Best Buy zakoupil smartphone BLU Grand M. Krátce nato zjistil, že telefon na čínské servery stále odesílá například seznam nainstalovaných aplikací, dále jednoznačné identifikátory daného přístroje (IMEI, MAC adresa), i telefonní číslo.

Přesnou polohu pomocí GPS souřadnic sice telefon nesledoval, ale poskytoval polohy základnové stanice, se kterou aktuálně komunikoval, což k přibližnému určení polohy s menší přesností stačí. Pokud se uživatel nachází v městské zástavbě, přesnost určení polohy roste.

Zatímco spyware je u těch nejlevnějších přístrojů poměrně častým jevem, u smartphonů nad 300 dolarů (cca 7 tisíc korun) Johnson nenarazil na jediný případ. Firmware společnosti Adups Technology je totiž výsadou těch nejlevnějších smartphonů, přesto však u Kryptowiru zjistili, že problém se netýká pouze smartphonů BLU. Adups dodává software také značkám ZTE a Huaweii, tedy velkým čínským hráčům. Dosud však nevyšlo najevo, že by některý model z jejich nabídky citlivé údaje přeposílal.

Takové chování však bylo zjištěno například u smartphonu Cubot X16S, který se prodával za cenu mezi 90 a 110 dolary. V tomto případě z telefonu na čínské servery putovaly záznamy telefonních hovorů, údaje o poloze i historie webového prohlížeče.

Ačkoli se společnost Cubot na dotaz zcela zdržela komentáře, Ryan Johnson po opětovném testování telefonu v tomto týdnu zjistil, že zadní vrátka byla v tichosti odstraněna. Stalo se tak jen pár dnů poté, co server CNET žádal od zástupců firmy oficiální stanovisko k únikům dat z jejich telefonu.

Je tedy jisté, že Adups Technology nasbírala spoustu citlivých dat z možná milionů různých levných čínských smartphonů. Na dotaz společnosti Kryptowire, jak s neoprávněně získanými daty naložila, mluvčí pouze odvětil, že byla smazána. To však nelze nijak ověřit. Zástupci bezpečnostní společnosti byli schopni zjistit, kam data putovala, ale samozřejmě už ne, jak s nimi bylo dále naloženo. To s jistotou ví jen správci příslušných serverů v Šanghaji.

 

Nejčtenější

Babiš ukázal řediteli Vodafonu grafy. Data jsou v Česku drahá

Cena mobilních dat je vládní priorita, říká Babiš

Premiér Babiš ve videu na svém facebookovém profilu odpověděl na otázku, jestli jeho strana ANO bude řešit vysoké ceny...

Honor s průstřelem displeje má zázračný 3D foťák a nebude drahý

Honor View 20

Značka Honor postupně představuje svůj nový špičkový smartphone View 20. V Číně ho nejprve ukázala coby model V20, teď...

Ikonická Motorola RAZR se vrátí. Žiletka překvapí konstrukcí a cenou

Koncept Motorola RAZR V4

Motorola RAZR je jedním z nejprodávanějších mobilů všech dob. V nové podobě to ovšem těžko bude prodejní trhák. Bude...

Impozantní Samsung S10+. Bude to v podstatě jen obří displej

Samsung Galaxy S10+

Představení nových samsungů nové řady Galaxy S10 proběhne zanedlouho. Nyní si můžeme prohlédnout vrchol nabídky celé...

ČTÚ si žádá blokování dat. Zákazníci budou po vyčerpání limitu na suchu

Ilustrační snímek

Již od února nebudou moci zákazníci virtuálního operátora Sazkamobil využívat po vyčerpání základního datového objemu...

Další z rubriky

Příští velká věc: ohavný vzorek ukázal ohýbací budoucnost mobilů

Ohebný smartphone Royole FlexPai

Veletrh CES poprvé ukázal, co dokážou ohebné displeje. Sice zatím na vzorku, který vypadá otřesně a nikdo soudný si ho...

Zrak vám doma změří smartphone pomocí přístroje za 1 500 korun

EyeQue VisionCheck

Izraelská společnost EyeQue vymyslela jednoduchý malý přístroj, který se ve spojení s vaším smartphonem promění v...

Nejpoužívanější telefony mezi poslanci jsou iPhony, zjistila MF DNES

Poslanci si připomněli 100. výročí založení samostatného československého státu...

„Huawei mám ještě teď, tedy dosluhující. Byl dobrý,“ chválil telefon čínské značky poslanec Pirátů Lukáš Bartoň. Ten je...

Najdete na iDNES.cz