23 December 2019

Бэкдор (?) в смартфонах BlackBerry на Android

Information SecuritySmartphones


18 декабря пользователи смартфонов BlackBerry моделей KeyONE и Key2 обнаружили приложение "Apps", которое появилось без их явного согласия. Выяснилось, что его установило другое встроенное приложение под названием Preview, которое похоже на бэкдор от китайского производителя.


Почему паника?



Пользователи на форуме CrackBerry запаниковали (1, 2). Внезапно появившееся приложение "Apps" очень сильно смахивало на поддельную программу или имитатор альтернативного магазина приложений:


  1. Название "Apps" не говорит ни о чём
  2. Приложение не раскрывало даже своего происхождения, если пользователь не соглашался на разрешения
  3. Английский текст в интерфейсе был написан с ошибками

А вот что делает приложение Apps:


12 встроенных трекеров:


Tencent: 111com.tencent.bugly
Google: Crashlytics, Doubleclick, Ads, Firebase
Facebook: Ads, Analytics, Login, Share, Places
myTarget: com.mytarget.
Twitter: MoPub


Разрешения (под контролем пользователя): Camera, Contacts, Location, Phone, SMS, Storage
Разрешения (не поддающиеся контролю): Full Network access, run at startup, retrieve running apps, view wifi connections, set wallpaper, Play Install Referrer API, close other apps, measure app storage space, control vibration, expand/collapse status bar, and com.tcl.live.permission.Access_Download_manager


Хосты, к которым пытается подключиться Apps в фоне:


TCL:
dg.udc.us.tclclouds.com/443
gwrtdp-tn690fadt.tclcloud.com/443
appcenter-13.tclclouds.com/80 (This one is required to show apps in the "Apps" Store, note its unencrypted.)
cleanportal.tclclouds.com/443
gwrtdp.tclclouds.com/443
platform.tclclouds.com/80
equipment.tclclouds.com/80
sec.tclclouds.com/443
apk.aotclouds.net/80 (This one is required to download the apks, note it's unencrypted)


Facebook:
graph.facebook.com/443


Google:
googleads.g.doubleclick.com/443
app-measurement.com/443


Crashyltics:
settings.crashlytics.com/443


Tencent:
android.bugly.qq.com/80


Unknown:
ad-api.ehawk.com/80
mibc-gtp.bigdatapppp.com/80


(информация от пользователя chetmanley на форуме CrackBerries)


Через некоторое время стало понятно, откуда взялось приложение Apps: его установило другое системное приложение под названием Preview.


Что за Preview?



Изначально на устройствах BlackBerry на Android от BlackBerry, Ltd. это было просто справочное приложение, которое объясняло, как пользоваться устройством с клавиатурой, а так же некоторыми другими фичами. Приложение с таким же внешним видом и названием поставлялось и с новыми телефонами BlackBerry, которые по лицензии выпускала китайская компания TCL. Никто не придавал этому приложению особого внимания до прошлой недели.



На Preview от TCL (последняя версия — 8.0.1132.99) не действует система разрешений. К примеру, у него нет разрешения на установку приложений, но оно всё равно устанавливает приложения (например Apps).



У приложения нет разрешения на показ уведомлений, но оно показывает уведомления о "доступных обновлениях" (на самом деле — предложение об установке) для китайских приложений CleanMaster и Likee. Впрочем, нельзя утверждать, что будут установлены именно эти приложения, поскольку установка идёт в обход Google Play. Даже для пользователей, не связанных с Россией, описания приложений в Preview были на русском языке (что сразу вызвало у западных пользователей бурю ассоциаций с китайско-русскими хакерами).



Кроме того, само приложение Preview потребляет значительное кол-во заряда аккумулятора (до 6% в сутки) и расходует траффик, не отключается штатными средствами, не реагирует на запрет автозапуска через PowerCenter, не отключается через ODB (на модели Key2); его деятельность не отслеживается фирменным защитным средством DTEK, которым гордились телефоны BlackBerry.


Реакция BlackBerry и TCL


Никаких заявлений от BlackBerry Ltd. (разработчиков софта) и TCL (владельца лицензии на торговую марку BlackBerry Mobile, которая фактически выпускает сейчас телефоны BlackBerry) не последовало, на вопросы в Twitter компании так же не отвечали.


Однако уже 21го декабря Preview перестала предлагать к установке Apps, а затем и CleanMaster, оставив в рекомендациях к "обновлению" только Likee.


Единственные около-официальные заявления делал амбассадор форума CrackBerry (самый известный форум по BlackBerry) под ником conite, утверждая, что TCL как производитель телефонов имеет право делать с телефонами всё что им захочется, и пользователь должен доверять производителю устройства или не пользоваться им вообще. (UPD: он так же отписался в комментариях к этому посту, не соглашаясь с этим описанием; решать вам — 1, 2, 3, 4, 5)


UPD 2019-12-24: По словам пользователя Bla1ze, сотрудники BlackBerry Mobile сообщили ему "This was an inadvertent server configuration error where a limited number of users were impacted, and the issue has been corrected.” Ссылку на конкретный источник он не предоставил.


Итоги


Несмотря на позиционирование смартфонов BlackBerry как "самых защищённых смартфонов", за безопасность которых отвечает BlackBerry Ltd., фактически в телефоне обнаружился бэкдор, через который вендор TCL может устанавливать любое ПО.


Сама по себе возможность вендора отправлять софт на телефон не является новой ситуацией. Но в данном случае мы увидели, что к этому каналу (бэкдору) получил доступ недостаточно квалифицированный персонал, который установил одно нерелевантное ПО и попытался продвинуть ещё два партнёрских продукта. Всё это не относилось ни к обновлениям, ни к необходимому функционалу телефона.


Приходится смириться с тем, что бренд BlackBerry для защищённых смартфонов окончательно потерял всякую актуальность.


P.S.: Я был первым на CrackBerries, кто обратил внимание на проблему с неизвестным приложением Apps, и форумчане даже поначалу убеждали меня, что меня взломали или я установил какое-то левое приложение, потому что сложно было поверить в такое поведение "самого безопасного смартфона на Android".

Tags:безопасностьandroidblackberryбэкдорtclкитай
Hubs: Information Security Smartphones
+14
11.2k 30
Comments 96
Top of the last 24 hours