В мире информационной безопасности иногда случаются истории, которые хочется сразу делить на две категории: реальные угрозы и поводы для красивых заголовков. Последний вброс про «зараженные» кнопочные телефоны Nokia – яркий пример того, как технически незначительный инцидент раздули до масштабов национальной катастрофы, а радостные «военкуры» подхватили хайп, чтобы напомнить о своем существовании.
Суть, если вкратце, в следующем: «МегаФон» обнаружил бэкдор в кнопочных телефонах Nokia 105 и 106 – они перехватывают входящие SMS и отправляют их злоумышленникам. А поскольку в основном в SMS в наше время приходят коды двухфакторной авторизации, это чрезвычайно опасно. Причём тут «военкуры»? Дело в том, что эти модели одобрены Минобороны для использования на СВО, поэтому такие телефоны, помимо прочих, распространены у бойцов. Военная тайна в опасности! Ну, и «Госуслуги» с банковскими счетами заодно.
Давайте разберемся, что же произошло на самом деле, отставив панику. По данным оператора, речь идет всего о 280 зараженных устройствах по всей стране. Для страны с населением под 150 миллионов человек и миллионами проданных кнопочных трубок это статистическая погрешность, а не эпидемия. Но история, конечно, интересная, и она совсем не про всемогущих хакеров.
Суть инцидента проста и банальна: на российских маркетплейсах и в «серой» рознице действительно можно наткнуться на электронику сомнительного происхождения. Ситуация, когда контрафактные партии (будь то просто «левак» или вообще подделка – кстати, кнопочные «Нокии» очень часто подделывают) содержат сюрпризы в прошивке, известна давно. Это не первая и не последняя ласточка. Можно вспомнить громкие истории с планшетами и смартфонами неизвестных брендов, в прошивках которых не раз находили бэкдоры.
Например, «Лаборатория Касперского» не так давно обнаруживала новую версию трояна Triada, вшитую в прошивки поддельных Android-смартфонов, продававшихся на онлайн-площадках. Этот зловред внедрялся в системный фреймворк еще до того, как устройство попадало к покупателю, и предоставлял злоумышленникам практически полный контроль над гаджетом — от кражи аккаунтов в Telegram и WhatsApp до перехвата SMS и подмены адресов криптокошельков, причем только похищенных криптоактивов насчитали на сумму более 260 тысяч долларов. Но еще интереснее для нашей темы случай, произошедший в 2021 году, когда независимый исследователь под псевдонимом ValdikSS решил протестировать пять моделей бюджетных кнопочных телефонов, купленных в российской рознице. Результат шокировал даже бывалых экспертов: «чистым» от вредоносного кода оказался лишь один аппарат — Inoi 101. Остальные четыре вели себя как настоящие шпионы: Itel it2160 без ведома владельца докладывал о своей активации через интернет на сервер в Китае, передавая IMEI и данные о сети. Телефон F+ Flip 3, который по спецификациям вообще не умеет выходить в сеть, отправлял SMS с той же информацией. Абсолютным же чемпионом по скрытности стал DEXP SD2810, который, несмотря на отсутствие браузера, подключался к GPRS, отправлял платные SMS на короткие номера и выполнял команды с удаленного сервера, попутно пересылая все входящие сообщения куда надо.
Модели Nokia 105 и 106 — тоже классические «звонилки». И со штатным ПО они не умеют передавать данные. Однако аппаратная платформа, на которой они построены, как и у подавляющего большинства современных кнопочных телефонов, умеет работать с GPRS. Производитель просто не активирует эту опцию в стандартной прошивке, чтобы не устанавливать браузер и другой сопутствующий софт, места-то во флеш-памяти немного.
Но для бэкдора хватит. Злоумышленники, получившие доступ к партии таких телефонов на этапе производства или логистики, поступили просто: взяли стандартную прошивку и переписали её. Модифицированная прошивка позволяет этой «звонилке» выходить в интернет и отправлять накопленные SMS на сервера мошенников. В остальном телефон работает как обычно.
И вот тут возникает главный вопрос: как это обнаружить рядовому пользователю? Теоретически, можно заподозрить неладное, если у вас вдруг появились списания за интернет-трафик на кнопочном телефоне. Но на практике абонент с пакетным тарифом этого не увидит, да и без него объёмы передаваемых данных слишком малы, чтобы заметно влиять на баланс. Операторы связи на это тоже редко обращают внимание. Почему? Потому что привязать трафик к конкретному типу устройства по IMEI (уникальному идентификатору) — задача нетривиальная. Многие абоненты используют IMEI кнопочных телефонов для заливки в модемы и роутеры, чтобы обойти ограничения «смартфонных» тарифов. Операторы же «палят» такое использование не по «белым» спискам устройств, т.к. их поддерживать в актуальном состоянии невозможно. А по «чёрным», то есть, видят IMEI роутера или модема. Если же он принадлежит кнопочному телефону, то передача данных не блокируется. Даже у T2, которые любят блокировать устройства, если их IMEI не входит в разрешённый диапазон (поэтому на их сети невозможно использовать некоторые старые модели кнопочных аппаратов).
Так что же мы имеем в сухом остатке? Некий зловред, обнаруженный у 0,006% владельцев кнопочных телефонов, способен воровать СМС, но только при условии, что вы купили палёный аппарат с рук или у сомнительного барыги на маркетплейсе. Для того чтобы украсть ваши деньги, мошенникам нужно, чтобы вы получили СМС с кодом, а телефон этот код отправил им. Но если у вас телефон из официальной розницы, бояться нечего. Покупать технику в сомнительных местах – это всегда лотерея. «Паль» может и не воровать данные, а спалить вам квартиру во время зарядки.
Так что проблема не с «Нокией», а с «Ноклой». А из мухи слона раздули только для того, чтобы лишний раз напугать бабушек, которые до сих пор пользуются кнопочными телефонами.