Čtvrtek 24. června 2021, svátek má Jan
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 24. června 2021 Jan

Levné čínské smartphony špehují uživatele a odesílají citlivá data

  0:09
Svět je zaplaven smartphony nejrůznějších značek a čínský přístroj s obstojnou výbavou lze koupit již za v přepočtu 1 500 korun. Levné přístroje s čínským softwarem však mívají zadní vrátka, kudy jsou osobní data uživatelů odesílány na vzdálené servery. Upozornili na to zástupci společnosti Kryptowire.

Nejlevnější čínské smartphony mohou odesílat citlivá data na vzdálené servery. | foto: androidheadlines.com

Nechtěným bonusem v podobě softwarové díry, přes kterou systém pravidelně odesílá uživatelská data na čínské servery, nechvalně proslul smartphone značky BLU již loni v listopadu. Konkrétně to byl model R1 HD, který Amazon ve Spojených státech prodával za symbolických 50 dolarů (aktuálně je cena 60 dolarů).

Za ty zákazník obdržel telefon s pětipalcovým HD displejem, čtyřjádrovým čipem MediaTek, 2 GB operační paměti a 8MPix fotoaparátem. Firmware telefonům upravila čínská společnost Shanghai Adups Technology, která však, jak se později ukázalo, do systému přidala i funkci pro sledování uživatelů.

Tento vestavěný špion ukládal polohu uživatele, jeho telefonní hovory, seznam kontaktů, obsah textových zpráv, aktivitu na webovém prohlížeči a další. Všechna získaná soukromá data pak každých 72 hodin putovala na čínské servery.

Byla to chyba, kterou jsme odstranili, bránil se Adups

Když loni společnost Kryptowire na problém upozornila, dodavatel softwaru jej nazval chybou. Americké úřady v závěru své analýzy pouze konstatovaly, že není zřejmé, zda šlo o získávání dat pro reklamní účely, nebo o snahu čínské vlády dolovat citlivá data od amerických uživatelů.

Samotná společnost Shanghai Adups Technology uvedla, že jejich kód je přeinstalován na více než 700 milionech zařízení, kromě smartphonů to jsou i automobily a další chytrá zařízení. Zástupci společnosti BLU tehdy uvedli, že bylo dotčeno přibližně 120 tisíc jejich přístrojů.

Viceprezident společnosti Kryptowire Tom Karygiannis pak upozornil, že uživatelé neměli šanci špionážní aktivitu svých smartphonů odhalit, a hovořil o nevídaném útoku na jejich soukromí.

Chybka se „vloudila“ i na jiné smartphony

Po více než půlroce problém s odesíláním citlivých dat ze smartphonů čínské straně opět ožívá. V minulých dnech proběhla v Las Vegas konference věnovaná softwarové bezpečnosti a během ní zástupci společnosti Kryptowire upozornili, že softwarová zadní vrátka byla odhalena i u dalších smartphonů, jež jsou vybaveny softwarem od stejného dodavatele.

Princip je stále stejný, dotčené telefony nadále odesílají citlivá data na vzdálené servery v Šanghaji. Jediným rozdílem je, že to nyní dělají sofistikovaněji a odhalení je komplikovanější.

Ryan Johnson, spoluzakladatel firmy Kryptowire, během konference dále uvedl, že skrytého špiona v sobě mají nejméně tři další smartphony se softwarem od společnosti Adups Technology. Její mluvčí však v reakci na tato zjištění pouze uvedl, že byl zjištěný problém odstraněn již loni a nyní už neexistuje.

Odesílání dat probíhá přes příkazový a řídicí kanál, který společnosti Adups umožňuje danému přístroji udělovat prakticky libovolné pokyny. Kromě odesílání uložených dat mohou na přístroj také instalovat aplikace, pořizovat snímky obrazovky nebo uskutečňovat hovory.

Kryptowire v rámci svého šetření zkoumal více než dvacítku různých firmwarů, které jsou použity u levných smartphonů s Androidem, které měly onu softwarovou díru, jež otevírala zadní vrátka k uloženým datům a vlastně veškerému provozu daného telefonu.

Všechny tyto smartphony přitom byly vybaveny čipovou sadou MediaTek. Levné čínské přístroje jsou zpravidla vždy osazeny některým základním čipem právě od tohoto výrobce. Zjištěno také bylo, že sledování telefonu a jeho provozu umožňoval obslužný software čipové sady s názvem MTKLogger.

Stejně jako zástupci firmy Adups byli i představitelé MediaTeku skoupí k podrobným vyjádřením a jen uvedli, že problém byl eliminován již v listopadu.

To však odporuje zjištěním Kryptowiru, že i novější model BLU Advance 5.0 je stále dodáván se zranitelnou verzí uvedené aplikace. Smartphone je opět v prodeji na Amazonu, jeho pořizovací cena je také 60 dolarů a aktuálně je v rámci tohoto internetového obchodního giganta třetím nejprodávanějším smartphonem. Aktualizace, která by zranitelnost zastavila, přitom není k dispozici.

Zatím nebylo zjištěno, že by MTKLogger přímo stál za odesíláním citlivých dat bez vědomí uživatele, jeho zranitelnost přesto podle Kryptowiru přetrvává.

Zranitelnost u levných smartphonů trvá

Sám Ryan Johnson si letos v květnu, tedy šest měsíců poté, co Adups Technology garantovala odstranění části kódu, který odesílal data z telefonu do Číny, přes známého prodejce elektroniky Best Buy zakoupil smartphone BLU Grand M. Krátce nato zjistil, že telefon na čínské servery stále odesílá například seznam nainstalovaných aplikací, dále jednoznačné identifikátory daného přístroje (IMEI, MAC adresa), i telefonní číslo.

Přesnou polohu pomocí GPS souřadnic sice telefon nesledoval, ale poskytoval polohy základnové stanice, se kterou aktuálně komunikoval, což k přibližnému určení polohy s menší přesností stačí. Pokud se uživatel nachází v městské zástavbě, přesnost určení polohy roste.

Zatímco spyware je u těch nejlevnějších přístrojů poměrně častým jevem, u smartphonů nad 300 dolarů (cca 7 tisíc korun) Johnson nenarazil na jediný případ. Firmware společnosti Adups Technology je totiž výsadou těch nejlevnějších smartphonů, přesto však u Kryptowiru zjistili, že problém se netýká pouze smartphonů BLU. Adups dodává software také značkám ZTE a Huaweii, tedy velkým čínským hráčům. Dosud však nevyšlo najevo, že by některý model z jejich nabídky citlivé údaje přeposílal.

Takové chování však bylo zjištěno například u smartphonu Cubot X16S, který se prodával za cenu mezi 90 a 110 dolary. V tomto případě z telefonu na čínské servery putovaly záznamy telefonních hovorů, údaje o poloze i historie webového prohlížeče.

Ačkoli se společnost Cubot na dotaz zcela zdržela komentáře, Ryan Johnson po opětovném testování telefonu v tomto týdnu zjistil, že zadní vrátka byla v tichosti odstraněna. Stalo se tak jen pár dnů poté, co server CNET žádal od zástupců firmy oficiální stanovisko k únikům dat z jejich telefonu.

Je tedy jisté, že Adups Technology nasbírala spoustu citlivých dat z možná milionů různých levných čínských smartphonů. Na dotaz společnosti Kryptowire, jak s neoprávněně získanými daty naložila, mluvčí pouze odvětil, že byla smazána. To však nelze nijak ověřit. Zástupci bezpečnostní společnosti byli schopni zjistit, kam data putovala, ale samozřejmě už ne, jak s nimi bylo dále naloženo. To s jistotou ví jen správci příslušných serverů v Šanghaji.

  • Nejčtenější

Hlásí vám Google na mobilu chybu? Nejste sami, na vině je aktualizace

V posledních hodinách se objevilo mnoho případů, kdy uživatelům Androidu neustále systém ukazuje chybovou hlášku, že...

Podvodná SMS působí, že ji zaslala banka. Útočníci jdou po údajích k účtu

Českem se šíří podvodná SMS, která příjemce informuje o zablokování identifikačního čísla. Tváří se, jako by ji...

Dva roky bez využití. Skončila poslední telefonní budka v Česku

Poslední telefonní budka stála v obci Hlubyně na Příbramsku. Při její slavnostní demontáži se uzavřela éra veřejných...

Toto jsou první chytré hodinky. Je jim 37 let, oživí je mobilní aplikace

Je to možná k nevíře, ale chytré hodinky jsou tu s námi téměř 40 let. V podstatě existují déle než samotné smartphony a...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Slušné chytré hodinky nemusejí stát ani dva tisíce. Nebo dokonce i méně

Je to jako v teleshoppingu. Slušné chytré hodinky nemusejí stát ani tři tisíce, ani dva tisíce, dokonce se vejdeme i...

Kdo staví dům, musí si připlatit. Kvůli prudkému nárůstu cen nestačí hypotéky

Premium Martin Hájek buduje v lokalitě Loukovec v Příhrazských skalách v Českém ráji dům, do kterého se nejspíš s rodinou nikdy...

Ralsko 30 let poté. „Český Černobyl“ je skanzenem sovětské okupace

Premium Zem je tu děravá jako ementál, naládovaná střelivem a nasáklá ropnými látkami. Co krok, to azbukou vyrytý nápis. Tu na...

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s IQ 206

Premium Je jedním z nejchytřejších Čechů, ale jako robot nepůsobí. Při osobním setkání je Karel Kostka, vzděláním učitel,...

  • Další z rubriky

Pozor na nenechavce i roztěkanost. Jak se v létě nepřipravit o mobil

Premium Čas strávený u vody, sportem či třeba večerním posezením u táboráku. Bez ohledu na to, zda letní dovolenou trávíte...

Kvůli chybě v šifrování mohli útočníci přes 20 let špehovat datový provoz

Šifrovací algoritmus mobilních telefonů v sítích 2G a v novější GPRS obsahuje chybu, která umožňovala útočníkům...

Další skládačka na obzoru. Xiaomi patrně uvede vlastní chytré véčko

S vlastním skládacím smartphonem si Xiaomi dalo docela načas. Na trh jej uvedlo až letos v březnu. A patrně nezůstane...

Takové využití MagSafe patrně Apple nenapadlo. Zachrání utopený iPhone

Utopit mobil v řece či jezeru je velmi nepříjemné. Do podobně svízelné situace se dostal i muž z Berlína, kterému spadl...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Nabídka lokálních potravin za hranicemi vyrazí dech, v Česku rozhoduje cena

Je všední letní den v bavorském příhraničí na německé straně Šumavy. Česká rodina si právě nakoupila v supermarketové...

Václav Kopta se pochlubil dcerami. Obě jsou pescetariánky

Václav Kopta se coby pyšný tatínek pochlubil dcerami Františkou a Janou. Společně dorazili do primácké Show Jana...

S Ivou Pazderkovou jsme se za naši svatbu styděli, přiznal Pavlásek

Lukáš Pavlásek (42) je sice zasnoubený, ale do svatby se nehrne. Veselku zatím překazila konoravirová opatření. Komik v...

Kdo vám dovolil fotit? A my, že jsme tady doma. Takhle odcházeli Sověti

Před třiceti lety odešli z bývalé ČSFR poslední sovětští vojáci. Jejich odchod zachytila ale jen hrstka dokumentaristů....

Turistickým atrakcím zvoní umíráček. K radosti místních, ke zlosti majitelů

Některá donedávna uzavřená turistická lákadla, jako například muzea strašidel, sexu, tortury či komunismu, dětské herny...