Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Levné čínské smartphony špehují uživatele a odesílají citlivá data

  0:09aktualizováno  0:09
Svět je zaplaven smartphony nejrůznějších značek a čínský přístroj s obstojnou výbavou lze koupit již za v přepočtu 1 500 korun. Levné přístroje s čínským softwarem však mívají zadní vrátka, kudy jsou osobní data uživatelů odesílány na vzdálené servery. Upozornili na to zástupci společnosti Kryptowire.

Nejlevnější čínské smartphony mohou odesílat citlivá data na vzdálené servery. | foto: androidheadlines.com

Nechtěným bonusem v podobě softwarové díry, přes kterou systém pravidelně odesílá uživatelská data na čínské servery, nechvalně proslul smartphone značky BLU již loni v listopadu. Konkrétně to byl model R1 HD, který Amazon ve Spojených státech prodával za symbolických 50 dolarů (aktuálně je cena 60 dolarů).

Za ty zákazník obdržel telefon s pětipalcovým HD displejem, čtyřjádrovým čipem MediaTek, 2 GB operační paměti a 8MPix fotoaparátem. Firmware telefonům upravila čínská společnost Shanghai Adups Technology, která však, jak se později ukázalo, do systému přidala i funkci pro sledování uživatelů.

Tento vestavěný špion ukládal polohu uživatele, jeho telefonní hovory, seznam kontaktů, obsah textových zpráv, aktivitu na webovém prohlížeči a další. Všechna získaná soukromá data pak každých 72 hodin putovala na čínské servery.

Byla to chyba, kterou jsme odstranili, bránil se Adups

Když loni společnost Kryptowire na problém upozornila, dodavatel softwaru jej nazval chybou. Americké úřady v závěru své analýzy pouze konstatovaly, že není zřejmé, zda šlo o získávání dat pro reklamní účely, nebo o snahu čínské vlády dolovat citlivá data od amerických uživatelů.

Samotná společnost Shanghai Adups Technology uvedla, že jejich kód je přeinstalován na více než 700 milionech zařízení, kromě smartphonů to jsou i automobily a další chytrá zařízení. Zástupci společnosti BLU tehdy uvedli, že bylo dotčeno přibližně 120 tisíc jejich přístrojů.

Viceprezident společnosti Kryptowire Tom Karygiannis pak upozornil, že uživatelé neměli šanci špionážní aktivitu svých smartphonů odhalit, a hovořil o nevídaném útoku na jejich soukromí.

Chybka se „vloudila“ i na jiné smartphony

Po více než půlroce problém s odesíláním citlivých dat ze smartphonů čínské straně opět ožívá. V minulých dnech proběhla v Las Vegas konference věnovaná softwarové bezpečnosti a během ní zástupci společnosti Kryptowire upozornili, že softwarová zadní vrátka byla odhalena i u dalších smartphonů, jež jsou vybaveny softwarem od stejného dodavatele.

Princip je stále stejný, dotčené telefony nadále odesílají citlivá data na vzdálené servery v Šanghaji. Jediným rozdílem je, že to nyní dělají sofistikovaněji a odhalení je komplikovanější.

Ryan Johnson, spoluzakladatel firmy Kryptowire, během konference dále uvedl, že skrytého špiona v sobě mají nejméně tři další smartphony se softwarem od společnosti Adups Technology. Její mluvčí však v reakci na tato zjištění pouze uvedl, že byl zjištěný problém odstraněn již loni a nyní už neexistuje.

Odesílání dat probíhá přes příkazový a řídicí kanál, který společnosti Adups umožňuje danému přístroji udělovat prakticky libovolné pokyny. Kromě odesílání uložených dat mohou na přístroj také instalovat aplikace, pořizovat snímky obrazovky nebo uskutečňovat hovory.

Kryptowire v rámci svého šetření zkoumal více než dvacítku různých firmwarů, které jsou použity u levných smartphonů s Androidem, které měly onu softwarovou díru, jež otevírala zadní vrátka k uloženým datům a vlastně veškerému provozu daného telefonu.

Všechny tyto smartphony přitom byly vybaveny čipovou sadou MediaTek. Levné čínské přístroje jsou zpravidla vždy osazeny některým základním čipem právě od tohoto výrobce. Zjištěno také bylo, že sledování telefonu a jeho provozu umožňoval obslužný software čipové sady s názvem MTKLogger.

Stejně jako zástupci firmy Adups byli i představitelé MediaTeku skoupí k podrobným vyjádřením a jen uvedli, že problém byl eliminován již v listopadu.

To však odporuje zjištěním Kryptowiru, že i novější model BLU Advance 5.0 je stále dodáván se zranitelnou verzí uvedené aplikace. Smartphone je opět v prodeji na Amazonu, jeho pořizovací cena je také 60 dolarů a aktuálně je v rámci tohoto internetového obchodního giganta třetím nejprodávanějším smartphonem. Aktualizace, která by zranitelnost zastavila, přitom není k dispozici.

Zatím nebylo zjištěno, že by MTKLogger přímo stál za odesíláním citlivých dat bez vědomí uživatele, jeho zranitelnost přesto podle Kryptowiru přetrvává.

Zranitelnost u levných smartphonů trvá

Sám Ryan Johnson si letos v květnu, tedy šest měsíců poté, co Adups Technology garantovala odstranění části kódu, který odesílal data z telefonu do Číny, přes známého prodejce elektroniky Best Buy zakoupil smartphone BLU Grand M. Krátce nato zjistil, že telefon na čínské servery stále odesílá například seznam nainstalovaných aplikací, dále jednoznačné identifikátory daného přístroje (IMEI, MAC adresa), i telefonní číslo.

Přesnou polohu pomocí GPS souřadnic sice telefon nesledoval, ale poskytoval polohy základnové stanice, se kterou aktuálně komunikoval, což k přibližnému určení polohy s menší přesností stačí. Pokud se uživatel nachází v městské zástavbě, přesnost určení polohy roste.

Zatímco spyware je u těch nejlevnějších přístrojů poměrně častým jevem, u smartphonů nad 300 dolarů (cca 7 tisíc korun) Johnson nenarazil na jediný případ. Firmware společnosti Adups Technology je totiž výsadou těch nejlevnějších smartphonů, přesto však u Kryptowiru zjistili, že problém se netýká pouze smartphonů BLU. Adups dodává software také značkám ZTE a Huaweii, tedy velkým čínským hráčům. Dosud však nevyšlo najevo, že by některý model z jejich nabídky citlivé údaje přeposílal.

Takové chování však bylo zjištěno například u smartphonu Cubot X16S, který se prodával za cenu mezi 90 a 110 dolary. V tomto případě z telefonu na čínské servery putovaly záznamy telefonních hovorů, údaje o poloze i historie webového prohlížeče.

Ačkoli se společnost Cubot na dotaz zcela zdržela komentáře, Ryan Johnson po opětovném testování telefonu v tomto týdnu zjistil, že zadní vrátka byla v tichosti odstraněna. Stalo se tak jen pár dnů poté, co server CNET žádal od zástupců firmy oficiální stanovisko k únikům dat z jejich telefonu.

Je tedy jisté, že Adups Technology nasbírala spoustu citlivých dat z možná milionů různých levných čínských smartphonů. Na dotaz společnosti Kryptowire, jak s neoprávněně získanými daty naložila, mluvčí pouze odvětil, že byla smazána. To však nelze nijak ověřit. Zástupci bezpečnostní společnosti byli schopni zjistit, kam data putovala, ale samozřejmě už ne, jak s nimi bylo dále naloženo. To s jistotou ví jen správci příslušných serverů v Šanghaji.





Nejčtenější

Vedoucímu hotelové služby explodoval v kapse košile Samsung Galaxy Grand Duos.
V kapse košile ucítil teplo, krátce poté jeho samsung explodoval

Nepříjemné chvilky zažil o poslední zářijové sobotě 47letý hotelový provozní Yulianto, v náprsní kapse jeho košile mu totiž explodoval telefon Samsung Galaxy...  celý článek

Navigace testuje majáky v pražskému tunelu
Mobil se neztratí ani v tunelu Blanka. Zkusili jsme testovací majáky Waze

Populární navigační aplikace Waze se v Praze možná dočká příjemného vylepšení. V tunelu, kde není dostupný signál z navigačních satelitů GPS, se bude...  celý článek

Nové ovládací centrum umožňuje přidávat další funkce.
Nový Android má extrémně málo smartphonů. U Applu je to úplně jinak

Díky tomu, že Apple si sám vyvíjí software i hardware, je aktualizace iPhonů a iPadů velmi snadná. Naopak Android má roztříštěnou základnu přístrojů od tisíců...  celý článek

iPhone X
Je to konec mýtické čtečky v displeji? Výrobci sázejí na obličej

Čtečka otisků integrovaná do displeje měla být jednou z hlavních letošních inovací na poli smartphonů. Technologie je ovšem natolik složitá, že výrobci od...  celý článek

Microsoft Lumia 950 XL
Microsoft připravil dárek pro nejvěrnější fanoušky mobilních Windows

Mobilní Windows už nejsou pro Microsoft prioritou, jejich vývoj ukončil. Přesto americký gigant vydal stejně jako pro počítače aktualizaci Fall Creators Update.  celý článek

Další z rubriky

Navigace testuje majáky v pražskému tunelu
Mobil se neztratí ani v tunelu Blanka. Zkusili jsme testovací majáky Waze

Populární navigační aplikace Waze se v Praze možná dočká příjemného vylepšení. V tunelu, kde není dostupný signál z navigačních satelitů GPS, se bude...  celý článek

KRACK: Key Reinstallation Attacks
Nepříjemné překvapení: I vaše wi-fi je zranitelná, odhalili experti

Bezpečnostní odborníci varují: zabezpečení bezdrátového připojení wi-fi pomocí WPA2 nelze považovat za bezpečné. Výzkumníci upozorňují, že zranitelností...  celý článek

Příchod sítí 5G je plánován na rok 2020
Nástup sítí 5G je zase o něco blíže. První vysílače jsou už postavené

Berlín Příchod sítí 5G je plánován až na rok 2020, ale k důležitým milníkům dochází už teď. Společnost Deutsche Telekom spustila první evropské vysílače umožňující...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.