НовостиУстройства
16 июля

В российских кнопочных телефонах нашли опасную уязвимость для удалённой отправки SMS

Компания-производитель подтвердила «аномалии».
Фото автора Евгений Лазовский
Евгений Лазовский

Автор Лайфхакера

уязвимость в телефонах digma
Избранное

Эксперты по кибербезопасности обнаружили опасную уязвимость в кнопочных телефонах российской компании Digma. Используя её, злоумышленники могут, помимо прочего, устанавливать связь со сторонними серверами, удалённо отправлять с устройства SMS-сообщения и регистрировать на номер пользователя аккаунты мессенджера.

Уязвимость нашли, когда на телефон Digma одного из покупателей была совершена кибератака, в рамках которой злоумышленники без ведома пользователя отправляли и принимали SMS. Также через месяц после того, как жертва хакеров купила устройство и подключила к нему SIM-карту, неизвестные смогли зарегистрировать на этот номер аккаунт в WhatsApp.

Изображение: Digma

После этого эксперты проанализировали прошивку телефона и нашли в нём уязвимость, которая, судя по всему, была намеренно предустановлена при производстве. Устройство время от времени связывалось с неизвестным сервером и передавало на него IMEI, а также идентификаторы SIM-карты и оператора связи. С сервера могли поступать команды об отправке определённого SMS на определённый номер, которое в списке сообщений никак не отображались.

В Digma подтвердили, что в работе устройства присутствуют «аномалии», но наличие бэкдора не признали.

Ещё про кибербезопасность
🛡
В Android и HarmonyOS обнаружили уязвимость для обхода сканера отпечатков пальцев
Как разблокировать смартфон, если вы забыли пароль, ПИН-код или графический ключ
6 способов сбросить пароль в Windows 10
Обложка: Digma
Если нашли ошибку, выделите текст и нажмите Ctrl + Enter
Избранное
Это интересно
«Живу свою вторую жизнь»: истории карьерных поворотов, которые привели в IT

«Живу свою вторую жизнь»: истории карьерных поворотов, которые привели в IT

Лол, это что, 2к17? Квиз, от которого можно поймать острый приступ ностальгии

Лол, это что, 2к17? Квиз, от которого можно поймать острый приступ ностальгии

Как покорить гору и вернуться на землю: всё о подготовке к первому восхождению

Как покорить гору и вернуться на землю: всё о подготовке к первому восхождению

Как усыновить ребёнка: пошаговый план

Как усыновить ребёнка: пошаговый план

Комментарии
S G
16.07.24 17:40
дома валяется такая дигма. Проблема решится, если телефон выбросить?
Евгений Лазовский
16.07.24 18:17
думаю, это как-то должно помочь!
Виктор Подволоцкий
17.07.24 08:12
шансы безусловно есть
S G
17.07.24 08:58
Я по содержанию так и не понял - хакеры могут взломать и пользоваться телефоном только тогда, когда он включен и в него вставлена симка? Или сама симка уже скомпрометирована и ее лучше поменять?
Олег Залялов
18.07.24 09:47
достаточно симку не вставлять
Voll DEmARR
16.07.24 19:32
Выяснилось, что простой кнопочный мобильник, не имеющий ничего общего с современными смартфонами, регулярно и с вполне конкретной периодичностью в фоновом режиме подключается к удаленному серверу посредством мобильного интернета. После установки соединения телефон сливает ему данные об IMEI-номере устройства, названии оператора и идентификаторе SIM-карты. В качестве ответа от сервера поступают различные команды – отправить SMS с конкретным текстом на конкретный номер и пр. А чтобы абонент ничего не заподозрил, ни входящие, ни исходящие сообщения, обработанные вредоносом, в памяти устройства не сохраняются. Владелец телефона обратился в Digma и получил ответ, что компания отмечает «аномалии» в работе прошивки устройства. Но при этом компания не подтверждает наличие «дыры» в гаджете, пишет «Коммерсант». А что в Digma российского? Digma – российский бренд, его сотовые телефоны выпускаются вовсе не в России – их собирают на китайских фабриках.
Horugvi
16.07.24 19:39
А что в iPhone американского? iPhone — американский бренд, его сотовые телефоны выпускаются вовсе не в США — их собирают на китайских фабриках.
Алексей Михайлов
16.07.24 21:57
Ребятушки - ну сколько повторять что все, поставляемое великой поднебесной сплошной он самый и есть. Неоднократно находили похожие вещи. И то, что телефон кнопочный никак не избавляет от возможных проблем. Другое дело, что для осуществления атаки нужно много факторов, включая доступ к командному серверу... Но если овчинка стоит выделки - даже не сомневайтесь оно будет осуществлено. По профилактике - перво-наперво удалить все настройки интернета. Физически испортив имя APN, сервера, порты... Второе - внимательно смотрим за делатизацией - никаких GPRS сессий, отправок СМС/ММС на неизвестные номера (да, и так команды могут проходить и не отображаться в телефоне). Остальное - только ваша параноя. Со смартами сложнее. Они всегда в сети, и потенциально всегда на связи с командным сервером. Вариант защиты - альтернативные прошивки типа LinageOS. Ну или безусловная вера производителю.
Виктор Подволоцкий
17.07.24 08:13
безусловная вера к кому-то осталась?
Алексей Михайлов
19.07.24 06:52
Нет конечно. Говорим безусловная вера - подразумеваем приемлемое соотношение рисков к удобству. А эта штука у каждого своя. По кнопочным телефонам вообще тема довольно дурная. Люди свято уверены в том, что имеем кнопочный телефон - имеем абсолютную защиту от всего. Начиная с прослушки, заканчивая защитой от доступа к удаленному банкингу и скрытым подпискам. Увы. С другой стороны, тут хороши все. Те же операторы сотовой связи могут (если захотят, конечно) блокировать всю эту активность или подставлять "фейковый" командный сервер, который всегда говорит "спим дальше". По крайней мере для самых популярных вариантов. Но нет - по каким-то причинам им проще нести репутационные потери и объясняться как умный газовый котел на гороскопы и знакомства подписывается. А СМС-банкинг, даже в своем расцвете, в 99 и множество девяток в периоде процентов использовался исключительно для пополнения баланса телефона. Зачем нужны переводы на сторонние счета по СМС и почему они до сих пор не запрещены в ряде очень популярных и инновационных банков - это очень интересный вопрос. Регуляторы. Которые даже имея официальное подтерждение бэекдора не приняли никаких мер ни к отрасли в целом, ни к бренду, ни к субподрядчикам... [Тут должна быть картика про Спарту] Потому фраза из легендарного фильма про советского разведчика "Верить в наше время нельзя никому" - она ой как актуальна. Но это уже политика... Мы туда не лезем.
S G
17.07.24 09:01
Решил посмотреть отзывы про кнопочные телефоны- многие пишут, что эти телефоны сами шлют платные смс, расходы по которым еще и не всегда отображаются
NikoLEXX Brunnen-G
22.07.24 16:12
поэтому лучше брать старые нокиа, самсунг с али, пусть и восстановленные
Что вы могли пропустить
Пользователи старых моделей iPhone и iPad лишатся функции резервного копирования в iCloud
Пользователи старых моделей iPhone и iPad лишатся функции резервного копирования в iCloud
Избранное
0
19:41
iOS
Новости
Моющий пылесос, компактный фен и ещё 2 девайса от Dreame, которые можно купить на распродаже 11.11
Моющий пылесос, компактный фен и ещё 2 девайса от Dreame, которые можно купить на распродаже 11.11
Избранное
17:00
Устройства
Устройства
Представлены игровые смартфоны Asus ROG Phone 9 и 9 Pro с аккумуляторами на 5 800 мА·ч и экранами 185 Гц
Представлены игровые смартфоны Asus ROG Phone 9 и 9 Pro с аккумуляторами на 5 800 мА·ч и экранами 185 Гц
Избранное
0
16:26
Новости
Устройства
10 отличных умных весов, которые стоит купить в 2024 году
10 отличных умных весов, которые стоит купить в 2024 году
Избранное
0
16:00
Технологии
Технологии
Corsair выпустила игровые клавиатуру и мышь для Mac
Corsair выпустила игровые клавиатуру и мышь для Mac
Избранное
0
12:33
Новости
Устройства
«Яндекс» обновил и расширил набор устройств для умного освещения
«Яндекс» обновил и расширил набор устройств для умного освещения
Избранное
0
11:10
Новости
Устройства
Google назвала лучшие приложения и игры для Android 2024 года
Google назвала лучшие приложения и игры для Android 2024 года
Избранное
0
10:35
Android
Новости
Со стилусом в форме волшебной палочки и снитчем: Oppo представила смартфон в стиле «Гарри Поттера»
Со стилусом в форме волшебной палочки и снитчем: Oppo представила смартфон в стиле «Гарри Поттера»
Избранное
0
Вчера
Новости
Устройства
Инсайдер: Apple может выпустить собственный телевизор
Инсайдер: Apple может выпустить собственный телевизор
Избранное
0
Вчера
Новости
Устройства
Как узнать IMEI телефона
Как узнать IMEI телефона
Избранное
0
Вчера
Технологии
Технологии
Xiaomi представила пауэрбанк на 5 000 мА·ч размером с кредитку
Xiaomi представила пауэрбанк на 5 000 мА·ч размером с кредитку
Избранное
0
Вчера
Новости
Устройства
Полноэкранный режим и иконки на главном экране: Telegram запустил мини-приложения 2.0
Полноэкранный режим и иконки на главном экране: Telegram запустил мини-приложения 2.0
Избранное
0
Вчера
Веб-сервисы
Новости
14 удобных инструментов для удалённой работы в команде
14 удобных инструментов для удалённой работы в команде
Избранное
0
17 ноября
Веб-сервисы
Продуктивность
Google будет скрывать почту пользователей Android от приложений
Google будет скрывать почту пользователей Android от приложений
Избранное
0
16 ноября
Android
Новости
Casio представила часы-кольцо CRW-001-1JR с секундомером и мигающим будильником
Casio представила часы-кольцо CRW-001-1JR с секундомером и мигающим будильником
Избранное
0
16 ноября
Новости
Устройства