Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Levné čínské smartphony špehují uživatele a odesílají citlivá data

  0:09aktualizováno  0:09
Svět je zaplaven smartphony nejrůznějších značek a čínský přístroj s obstojnou výbavou lze koupit již za v přepočtu 1 500 korun. Levné přístroje s čínským softwarem však mívají zadní vrátka, kudy jsou osobní data uživatelů odesílány na vzdálené servery. Upozornili na to zástupci společnosti Kryptowire.

Nejlevnější čínské smartphony mohou odesílat citlivá data na vzdálené servery. | foto: androidheadlines.com

Nechtěným bonusem v podobě softwarové díry, přes kterou systém pravidelně odesílá uživatelská data na čínské servery, nechvalně proslul smartphone značky BLU již loni v listopadu. Konkrétně to byl model R1 HD, který Amazon ve Spojených státech prodával za symbolických 50 dolarů (aktuálně je cena 60 dolarů).

Za ty zákazník obdržel telefon s pětipalcovým HD displejem, čtyřjádrovým čipem MediaTek, 2 GB operační paměti a 8MPix fotoaparátem. Firmware telefonům upravila čínská společnost Shanghai Adups Technology, která však, jak se později ukázalo, do systému přidala i funkci pro sledování uživatelů.

Tento vestavěný špion ukládal polohu uživatele, jeho telefonní hovory, seznam kontaktů, obsah textových zpráv, aktivitu na webovém prohlížeči a další. Všechna získaná soukromá data pak každých 72 hodin putovala na čínské servery.

Byla to chyba, kterou jsme odstranili, bránil se Adups

Když loni společnost Kryptowire na problém upozornila, dodavatel softwaru jej nazval chybou. Americké úřady v závěru své analýzy pouze konstatovaly, že není zřejmé, zda šlo o získávání dat pro reklamní účely, nebo o snahu čínské vlády dolovat citlivá data od amerických uživatelů.

Samotná společnost Shanghai Adups Technology uvedla, že jejich kód je přeinstalován na více než 700 milionech zařízení, kromě smartphonů to jsou i automobily a další chytrá zařízení. Zástupci společnosti BLU tehdy uvedli, že bylo dotčeno přibližně 120 tisíc jejich přístrojů.

Viceprezident společnosti Kryptowire Tom Karygiannis pak upozornil, že uživatelé neměli šanci špionážní aktivitu svých smartphonů odhalit, a hovořil o nevídaném útoku na jejich soukromí.

Chybka se „vloudila“ i na jiné smartphony

Po více než půlroce problém s odesíláním citlivých dat ze smartphonů čínské straně opět ožívá. V minulých dnech proběhla v Las Vegas konference věnovaná softwarové bezpečnosti a během ní zástupci společnosti Kryptowire upozornili, že softwarová zadní vrátka byla odhalena i u dalších smartphonů, jež jsou vybaveny softwarem od stejného dodavatele.

Princip je stále stejný, dotčené telefony nadále odesílají citlivá data na vzdálené servery v Šanghaji. Jediným rozdílem je, že to nyní dělají sofistikovaněji a odhalení je komplikovanější.

Ryan Johnson, spoluzakladatel firmy Kryptowire, během konference dále uvedl, že skrytého špiona v sobě mají nejméně tři další smartphony se softwarem od společnosti Adups Technology. Její mluvčí však v reakci na tato zjištění pouze uvedl, že byl zjištěný problém odstraněn již loni a nyní už neexistuje.

Odesílání dat probíhá přes příkazový a řídicí kanál, který společnosti Adups umožňuje danému přístroji udělovat prakticky libovolné pokyny. Kromě odesílání uložených dat mohou na přístroj také instalovat aplikace, pořizovat snímky obrazovky nebo uskutečňovat hovory.

Kryptowire v rámci svého šetření zkoumal více než dvacítku různých firmwarů, které jsou použity u levných smartphonů s Androidem, které měly onu softwarovou díru, jež otevírala zadní vrátka k uloženým datům a vlastně veškerému provozu daného telefonu.

Všechny tyto smartphony přitom byly vybaveny čipovou sadou MediaTek. Levné čínské přístroje jsou zpravidla vždy osazeny některým základním čipem právě od tohoto výrobce. Zjištěno také bylo, že sledování telefonu a jeho provozu umožňoval obslužný software čipové sady s názvem MTKLogger.

Stejně jako zástupci firmy Adups byli i představitelé MediaTeku skoupí k podrobným vyjádřením a jen uvedli, že problém byl eliminován již v listopadu.

To však odporuje zjištěním Kryptowiru, že i novější model BLU Advance 5.0 je stále dodáván se zranitelnou verzí uvedené aplikace. Smartphone je opět v prodeji na Amazonu, jeho pořizovací cena je také 60 dolarů a aktuálně je v rámci tohoto internetového obchodního giganta třetím nejprodávanějším smartphonem. Aktualizace, která by zranitelnost zastavila, přitom není k dispozici.

Zatím nebylo zjištěno, že by MTKLogger přímo stál za odesíláním citlivých dat bez vědomí uživatele, jeho zranitelnost přesto podle Kryptowiru přetrvává.

Zranitelnost u levných smartphonů trvá

Sám Ryan Johnson si letos v květnu, tedy šest měsíců poté, co Adups Technology garantovala odstranění části kódu, který odesílal data z telefonu do Číny, přes známého prodejce elektroniky Best Buy zakoupil smartphone BLU Grand M. Krátce nato zjistil, že telefon na čínské servery stále odesílá například seznam nainstalovaných aplikací, dále jednoznačné identifikátory daného přístroje (IMEI, MAC adresa), i telefonní číslo.

Přesnou polohu pomocí GPS souřadnic sice telefon nesledoval, ale poskytoval polohy základnové stanice, se kterou aktuálně komunikoval, což k přibližnému určení polohy s menší přesností stačí. Pokud se uživatel nachází v městské zástavbě, přesnost určení polohy roste.

Zatímco spyware je u těch nejlevnějších přístrojů poměrně častým jevem, u smartphonů nad 300 dolarů (cca 7 tisíc korun) Johnson nenarazil na jediný případ. Firmware společnosti Adups Technology je totiž výsadou těch nejlevnějších smartphonů, přesto však u Kryptowiru zjistili, že problém se netýká pouze smartphonů BLU. Adups dodává software také značkám ZTE a Huaweii, tedy velkým čínským hráčům. Dosud však nevyšlo najevo, že by některý model z jejich nabídky citlivé údaje přeposílal.

Takové chování však bylo zjištěno například u smartphonu Cubot X16S, který se prodával za cenu mezi 90 a 110 dolary. V tomto případě z telefonu na čínské servery putovaly záznamy telefonních hovorů, údaje o poloze i historie webového prohlížeče.

Ačkoli se společnost Cubot na dotaz zcela zdržela komentáře, Ryan Johnson po opětovném testování telefonu v tomto týdnu zjistil, že zadní vrátka byla v tichosti odstraněna. Stalo se tak jen pár dnů poté, co server CNET žádal od zástupců firmy oficiální stanovisko k únikům dat z jejich telefonu.

Je tedy jisté, že Adups Technology nasbírala spoustu citlivých dat z možná milionů různých levných čínských smartphonů. Na dotaz společnosti Kryptowire, jak s neoprávněně získanými daty naložila, mluvčí pouze odvětil, že byla smazána. To však nelze nijak ověřit. Zástupci bezpečnostní společnosti byli schopni zjistit, kam data putovala, ale samozřejmě už ne, jak s nimi bylo dále naloženo. To s jistotou ví jen správci příslušných serverů v Šanghaji.





Nejčtenější

Ohnutý iPhone 6 Plus
Tři roky, nebo jeden? Apple má o životnosti iPhonu jasno, řekl u soudu

Apple iPhone je nejtrvanlivější zařízení na trhu, hlásil letos v srpnu viceprezident produktového marketingu firmy. A už v září se společnost u soudu brání, že...  celý článek

Asus Zenfone 4 Selfie
Extrémní rozdíl. Základní model je čtyřikrát levnější než ten nejlepší

Asus uvádí na evropský trh své smartphony řady Zenfone 4. Přístroje představené už v srpnu doma na Tchaj-wanu firma přizpůsobila evropskému trhu a chce se o...  celý článek

iOS 11
Řada chytrých vylepšení. Systém iOS 11 posouvá iPhony dál

Nový systém iOS 11 přináší nejvíce inovací pro tablety iPad, ale i pro iPhony nabízí řadu chytrých vylepšení, která zpříjemní uživatelský komfort.   celý článek

Apple Watch Series 3
Nové Watch nefungují, jak by měly. Apple připustil problémy s připojením

Již zítra začne Apple současně s iPhony 8 a 8 Plus prodávat také novou generaci chytrých hodinek Watch. Recenzenti ovšem jejich koupi nedoporučují, a to kvůli...  celý článek

iPhone X
Nové iPhony ve výkonnostních testech rozdrtily konkurenci

Výsledky výkonnostních testů Geekbench odhalily skutečný potenciál nových iPhonů. Jsou totiž dvojnásobně výkonnější než ty nejlepší androidy a výpočetním...  celý článek

Další z rubriky

Paměťová karta microSD s kapacitou 400 GB od společnosti SanDisk.
Paměťová karta s rekordní kapacitou stojí jako slušný smartphone

Společnost SanDisk představila paměťovou kartu typu microSD s rekordní kapacitou 400 GB. Její cena bude ovšem hodně vysoká.   celý článek

Donald Trump při předvolebním setkání s voliči v americkém městě North...
Trump má v iPhonu jedinou aplikaci. Jakou, to uhádne každý

Aktivita amerického prezidenta na sociální síti Twitter je pověstná, takže není divu, že prezidentský iPhone prostý všech vymožeností přeci jen jednu aplikaci...  celý článek

Policejní stanice na Times Square v New Yorku
Americká policie pořídila 36 tisíc nepoužitelných mobilů s Windows

Policie v americkém New Yorku se musí zbavit 36 tisíc telefonů, které pro své zaměstnance pořídila v uplynulých dvou letech. Jde o telefony Lumia s operačním...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.