16 июля 2024

В российских кнопочных телефонах нашли опасную уязвимость для удалённой отправки SMS

Компания-производитель подтвердила «аномалии».

Автор Лайфхакера

Эксперты по кибербезопасности обнаружили опасную уязвимость в кнопочных телефонах российской компании Digma. Используя её, злоумышленники могут, помимо прочего, устанавливать связь со сторонними серверами, удалённо отправлять с устройства SMS-сообщения и регистрировать на номер пользователя аккаунты мессенджера.

Уязвимость нашли, когда на телефон Digma одного из покупателей была совершена кибератака, в рамках которой злоумышленники без ведома пользователя отправляли и принимали SMS. Также через месяц после того, как жертва хакеров купила устройство и подключила к нему SIM-карту, неизвестные смогли зарегистрировать на этот номер аккаунт в WhatsApp.

После этого эксперты проанализировали прошивку телефона и нашли в нём уязвимость, которая, судя по всему, была намеренно предустановлена при производстве. Устройство время от времени связывалось с неизвестным сервером и передавало на него IMEI, а также идентификаторы SIM-карты и оператора связи. С сервера могли поступать команды об отправке определённого SMS на определённый номер, которое в списке сообщений никак не отображались.

В Digma подтвердили, что в работе устройства присутствуют «аномалии», но наличие бэкдора не признали.

В Android и HarmonyOS обнаружили уязвимость для обхода сканера отпечатков пальцев

Как разблокировать смартфон, если вы забыли пароль, ПИН-код или графический ключ

6 способов сбросить пароль в Windows 10

Лучшие предложения

10 товаров для дачного сезона, которые нужно купить уже сегодня

Топ-10 смартфонов, которые стоит купить на Великой китайской распродаже от AliExpress

10 мелочей для кухни, которые решают много бытовых проблем

Удобный для новичков 3D-принтер Flashforge AD5X отдают со скидкой 41%

10 гаджетов, чтобы не упахиваться во время генеральной уборки

Надо брать: неубиваемый внешний аккумулятор от Nitecore

Новинка от Roborock: робот-пылесос для тщательной уборки со скидкой 53%

Со скидкой 59% можно купить наушники от Edifier сейчас на AliExpress

Это интересно

Российский Красный Крест открывает набор на профессиональные курсы с возможностью бесплатного обучения

Куда поехать за классным сувениром: 7 точек Золотого кольца с удивительными народными промыслами

321 проект и 3,1 млрд рублей: как прошёл первый год работы Президентского фонда природы

Как сегодня в России создают новые лекарства и учатся «заживлять» трещины в металле

Комментарии

S G

16.07.24 17:40

дома валяется такая дигма. Проблема решится, если телефон выбросить?

Евгений Лазовский

16.07.24 18:17

думаю, это как-то должно помочь!

Виктор Подволоцкий

17.07.24 08:12

шансы безусловно есть

S G

17.07.24 08:58

Я по содержанию так и не понял - хакеры могут взломать и пользоваться телефоном только тогда, когда он включен и в него вставлена симка? Или сама симка уже скомпрометирована и ее лучше поменять?

Олег Залялов

18.07.24 09:47

достаточно симку не вставлять

Voll DEmARR

16.07.24 19:32

Выяснилось, что простой кнопочный мобильник, не имеющий ничего общего с современными смартфонами, регулярно и с вполне конкретной периодичностью в фоновом режиме подключается к удаленному серверу посредством мобильного интернета. После установки соединения телефон сливает ему данные об IMEI-номере устройства, названии оператора и идентификаторе SIM-карты. В качестве ответа от сервера поступают различные команды – отправить SMS с конкретным текстом на конкретный номер и пр. А чтобы абонент ничего не заподозрил, ни входящие, ни исходящие сообщения, обработанные вредоносом, в памяти устройства не сохраняются. Владелец телефона обратился в Digma и получил ответ, что компания отмечает «аномалии» в работе прошивки устройства. Но при этом компания не подтверждает наличие «дыры» в гаджете, пишет «Коммерсант». А что в Digma российского? Digma – российский бренд, его сотовые телефоны выпускаются вовсе не в России – их собирают на китайских фабриках.

Horugvi

16.07.24 19:39

А что в iPhone американского? iPhone — американский бренд, его сотовые телефоны выпускаются вовсе не в США — их собирают на китайских фабриках.

Алексей Михайлов

16.07.24 21:57

Ребятушки - ну сколько повторять что все, поставляемое великой поднебесной сплошной он самый и есть. Неоднократно находили похожие вещи. И то, что телефон кнопочный никак не избавляет от возможных проблем. Другое дело, что для осуществления атаки нужно много факторов, включая доступ к командному серверу... Но если овчинка стоит выделки - даже не сомневайтесь оно будет осуществлено. По профилактике - перво-наперво удалить все настройки интернета. Физически испортив имя APN, сервера, порты... Второе - внимательно смотрим за делатизацией - никаких GPRS сессий, отправок СМС/ММС на неизвестные номера (да, и так команды могут проходить и не отображаться в телефоне). Остальное - только ваша параноя. Со смартами сложнее. Они всегда в сети, и потенциально всегда на связи с командным сервером. Вариант защиты - альтернативные прошивки типа LinageOS. Ну или безусловная вера производителю.

Виктор Подволоцкий

17.07.24 08:13

безусловная вера к кому-то осталась?

Алексей Михайлов

19.07.24 06:52

Нет конечно. Говорим безусловная вера - подразумеваем приемлемое соотношение рисков к удобству. А эта штука у каждого своя. По кнопочным телефонам вообще тема довольно дурная. Люди свято уверены в том, что имеем кнопочный телефон - имеем абсолютную защиту от всего. Начиная с прослушки, заканчивая защитой от доступа к удаленному банкингу и скрытым подпискам. Увы. С другой стороны, тут хороши все. Те же операторы сотовой связи могут (если захотят, конечно) блокировать всю эту активность или подставлять "фейковый" командный сервер, который всегда говорит "спим дальше". По крайней мере для самых популярных вариантов. Но нет - по каким-то причинам им проще нести репутационные потери и объясняться как умный газовый котел на гороскопы и знакомства подписывается. А СМС-банкинг, даже в своем расцвете, в 99 и множество девяток в периоде процентов использовался исключительно для пополнения баланса телефона. Зачем нужны переводы на сторонние счета по СМС и почему они до сих пор не запрещены в ряде очень популярных и инновационных банков - это очень интересный вопрос. Регуляторы. Которые даже имея официальное подтерждение бэекдора не приняли никаких мер ни к отрасли в целом, ни к бренду, ни к субподрядчикам... [Тут должна быть картика про Спарту] Потому фраза из легендарного фильма про советского разведчика "Верить в наше время нельзя никому" - она ой как актуальна. Но это уже политика... Мы туда не лезем.

S G

17.07.24 09:01

Решил посмотреть отзывы про кнопочные телефоны- многие пишут, что эти телефоны сами шлют платные смс, расходы по которым еще и не всегда отображаются

NikoLEXX Brunnen-G

22.07.24 16:12

поэтому лучше брать старые нокиа, самсунг с али, пусть и восстановленные

Что вы могли пропустить

Aulumu выпустила брутальный пауэрбанк M10 с поддержкой трёх типов зарядки

Вчера

Новости

Устройства

Топ-10 смартфонов, которые стоит купить на Великой китайской распродаже от AliExpress

Вчера

Покупки

Устройства

Canva научилась делить «плоские» изображения на редактируемые слои с помощью ИИ

Вчера

Веб-сервисы

Новости

Почему люди скупают старые iPod в 2026 году и какой вариант стоит искать

Вчера

Технологии

Как iPad, но с компромиссами: появились новые подробности о складном iPhone

Вчера

Новости

Устройства

Слияние двух платформ: Microsoft раскрыла первые детали гибридной консоли Xbox Project Helix

Вчера

Новости

Устройства

Looking Glass представила фоторамку, превращающую любые изображения в голограммы

11 марта

Новости

Устройства

Кризис памяти ударит по экранам iPhone 18 Pro и смартфонов на Android

11 марта

Новости

Устройства

В пару кликов: как загрузить любые свои треки в «Яндекс Музыку»

11 марта

Технологии

Xiaomi раскрыла график выхода HyperOS 3.1 — обновление получат 56 устройств

11 марта

Android

Новости

iRobot представила компактный робот‑пылесос Roomba Mini — он как игрушечный

11 марта

Новости

Устройства

«Mac для масс»: крупные СМИ расхвалили бюджетный MacBook Neo в первых рецензиях

11 марта

Новости

Устройства

Как проверить, не написал ли текст ИИ, и есть ли в этом смысл

11 марта

Ликбез

Технологии

В Photoshop появился ИИ-помощник, который сам редактирует изображения

11 марта

Новости

Технологии

В ChatGPT появился Shazam: бот теперь умеет определять и находить песни

10 марта

Новости

Технологии

Новые комментарии

Ekaterina Nivina3 часа назад

0 / 0

Прекрасно всё получилось)) но: тесту дала полежать, а масло растительное вбивала уже потом, в готовое, полежавшее тесто. И раскатывала не с мукой, а с каплей масла.

Быстрое хачапури на кефире с сыром

Дарья Полещикова6 часов назад

0 / 0

Я думаю, что тут вопрос не про опасность, а про элементарную гигиену. 5-летний мальчик вряд ли сможет переодеться в бассейн и обратно, не растеряв по дороге половину вещей и не обтерев голой попой общественную лавку. Это норма, что маленьким детям помогают родители. Не норма, что для этого нет условий даже в детских спортивных центрах, не то что в фитнес-клубах. При этом во многих аквапарках, например, все организовано ок — ящички для хранения и закрытые кабинки для переодевания.

Норм или стрём: водить мальчиков в женскую раздевалку

D.V.6 часов назад

0 / 0

Всё ещё впереди :)

6 самых опасных существ русского фольклора

Horugvi6 часов назад

0 / 0

больше не ешь его

Как вкусно пожарить пельмени