Saznajte više o mogućnostima Micromaxa da daljinski instalira aplikacije na vaš uređaj i što možete učiniti da zaustavite ovo potencijalno zlonamjerno ponašanje
U nedavnoj prošlosti bili smo svjedoci dosta činova OEM-ova koji su petljali s uređajima kako bi postigli različite ciljeve, kao što je povećanje rezultata benchmarka. Također smo čuli da proizvođači i operateri dodaju softver za praćenje na svoje uređaje kako bi prikupili podatke o tome kako performanse uređaja, statistiku o glasovnoj i podatkovnoj povezanosti između uređaja i radijskih tornjeva ili čak podatke o trajanju baterije (CarrierIQ slušaš li?). Danas, međutim, izvještaji stižu da su korisnici određenih uređaja indijskog proizvođača telefona Micromax primijetili da se aplikacije tiho instaliraju bez njihovog pristanka ili dopuštenja.
Čini se da čak ni deinstaliranje ovih aplikacija neće pomoći jer će se nedugo nakon toga jednostavno ponovno pojaviti. Očito je da je to pogrešno na toliko razina, ali bih ovdje ipak želio istaknuti nekoliko ključnih problema:
- Nemate kontrolu nad time koje su aplikacije instalirane na vašem uređaju predstavlja veliki sigurnosni rizik jer ne možete provjeriti dopuštenja aplikacija i nemate pojma jesu li te aplikacije doista izvorne (ili potencijalno izmijenjene u zlonamjernom put)
- Micromax uređaji obično nisu najviša klasa koju možete pronaći, tako da se prostor za pohranu i dalje smatra luksuzom (s 4 GB ukupno), a pohrana uređaja ispunjena nasumičnim aplikacijama sigurno nije najbolja upotreba tog dragocjenog prostora
- Preuzimanja se također događaju kada koristite mobilnu mrežu, tako da će se vaš skupi prijenos podataka punom brzinom značajno smanjiti ako vaš telefon neprestano pokušava preuzeti aplikacije koje ni ne želite imati
Iako ove prakse već same po sebi zvuče užasno pogrešno, tu nažalost nije kraj. Osim preuzimanja aplikacija, čini se da ovi uređaji s vremena na vrijeme prikazuju i oglase na traci obavijesti. A korisnik reddita izvješćuje da se 8-10 oglasa prikazuje odjednom i nakon traženja odgovorne aplikacije za ove uznemirujuće obavijesti, predstavljena mu je aplikacija sustava pod nazivom "Software Update".
Dakle, u ovom trenutku, sigurno zvuči kao da je Micromax dodao prilagođeni softver koji daljinski instalira aplikacije i gura oglase na uređaje korisnika. Ali ne bismo bili ovdje u XDA Developersu da smo stali na pretpostavkama i jednostavno vam ispričali priču o nekome tko tvrdi stvari na internetu. Stoga smo odlučili srušiti navedenu aplikaciju i pogledati što je unutra.
Dokaz
Kada počnete rušiti aplikaciju (koja se zapravo zove FWUpgrade.apk na vašem datotečnom sustavu), prvo što primijetite je da je to aplikacija treće strane. Kineska tvrtka Adups razvila ju je kao zamjenu za Google OTA uslugu. Očito ga je Micromax odlučio koristiti umjesto standardnog. Prva prepreka koju trebate uzeti za daljnju analizu je maskiranje razine bajt koda, a većinu izvora doista nije užitak čitati. Međutim, ako znate što tražite, aplikacija ne može sakriti svoju pravu prirodu. Ovdje predstavljeni dokazi počinju s dijelom koda koji vam pokazuje potencijalne mogućnosti ove aplikacije i završavaju nečim još zanimljivijim.
Počnimo s tiho instaliranim aplikacijama. Da biste to učinili iz druge aplikacije, morate izravno koristiti Android PackageManager API ili izdati instalacijske naredbe iz ljuske. Drugi slučaj je ovdje istinit, kao što pokazuju sljedeći dijelovi koda (napomena: ovo je pojednostavljeni java kod, stvarni kod izgleda malo drugačije zbog zamagljivanja):
StringBuilder sb = new StringBuilder("pm install -r ");sb.append (s2);String cmd = sb.toString();
Ovdje možete vidjeti novostvoreni StringBuilder koji sadrži naredbu pm instaliraj, nakon čega slijedi s2, što je u ovom slučaju varijabla niza koja sadrži putanju datotečnog sustava do preuzete apk datoteke. Gotov niz se zatim prosljeđuje novoj metodi koja radi nešto poput ovoga:
ProcessBuilder processbuilder = novi ProcessBuilder (cmd);Proces procesa = processbuilder.start();
Ovdje možete vidjeti da se niz s naredbom ljuske koristi za pokretanje procesa koji izvršava navedenu naredbu i zapravo tiho instalira apk datoteku. U ovom trenutku možemo biti prilično sigurni da usluga OTA provjere u Micromax ROM-ovima ne samo da može preuzimati i flashati sistemske OTA-e, već također ima mogućnost tihe instalacije aplikacija. To samo po sebi ne znači previše jer nije nužno loša stvar, ali ima još toga.
Unutar aplikacije pronašao sam nekoliko referenci na web stranicu tvrtke, uključujući jednu koji ima opsežan popis značajki. Hoćemo li pogledati najzanimljiviji dio?
Eto ga, vlastitim riječima tvrtke. App push usluga. Device Data Mining. Mobilno oglašavanje. To se prilično dobro slaže s početnim izvješćem na redditu, zar ne? Dakle, negativac ovdje je zapravo Micromax budući da su to službene značajke Adupsove aplikacije i više je nego vjerojatno da Micromax dobiva prihod od prisilnih instalacija aplikacija i obavijesti oglasi. Također su odabrali ići s ovim pružateljem usluga i ne koristiti vlastite poslužitelje zajedno s Googleovom dioničkom OTA uslugom, tako da su bili potpuno svjesni kakav bi to učinak imao na njihove korisnike.
Privremeno rješenje
Sada kada znamo da su ova nesretna izvješća bila istinita, razgovarajmo o tome kako se riješiti ove "funkcionalnosti". Prvi korak u onemogućavanju navedenih značajki bio bi odlazak u postavke aplikacije uređaja kako biste onemogućili lažnu aplikaciju sustava. Međutim, to u ovom slučaju nije moguće jer Android dopušta proizvođačima originalne opreme da deaktiviraju gumb za onemogućavanje za određene aplikacije. Ali ne bojte se, imamo dostupno rješenje i reći ćemo vam kako onemogućiti zlonamjerni kod.
1. Rootirajte svoj uređaj
Prvi i najvažniji korak je rootanje vašeg uređaja. Ukorijenjeni uređaj omogućuje vam mnogo više nego što bi to dopuštao vaš standardni telefon i kritičan je korak u svim izmjenama sustava. Budući da postoji dosta različitih Micromax uređaja, u ovom članku neću se povezivati ni s jednim određenim root-outom. Umjesto toga, idite na XDA: Indija i potražite root exploit ili vodič za svoj uređaj. Obavezno pažljivo pročitajte sve i točno slijedite upute kako ne biste oštetili svoj uređaj u procesu. Također imajte na umu da će ovo najvjerojatnije poništiti vaše jamstvo.
2. Postavite ADB
Da biste nastavili, morat ćete imati funkcionalnu ADB vezu sa svojim uređajem. Postoje mnogi vodiči na XDA koji detaljno opisuju kako to postići, ali za početak, ovdje je prilično ažuran vodič o tome kako preuzeti potrebne binarne datoteke i kako uspostaviti vezu s vašim uređajem.
3. Onemogućite aplikaciju za ažuriranje softvera
Sada kada ste dobili root pristup i ADB je pokrenut, možete nastaviti s onemogućavanjem zastrašujuće aplikacije odgovorne za tihe instalacije i neželjene oglase. Sve što sada trebate učiniti je pokrenuti naredbeni redak, provjeriti nalazi li se odzivnik u direktoriju vaše ADB binarne datoteke i izvršiti sljedeću naredbu:
adb shell pm onemogući com.adups.fota
Više o korištenju ove naredbe možete pročitati ovdje vodič o onemogućavanju aplikacija s root pristupom. Imajte na umu da će ovaj postupak vašem uređaju ukloniti mogućnost traženja ažuriranja softvera i može generirati pogrešku pri pokušaju otvaranja odjeljka Ažuriranje telefona u postavkama. U slučaju da trebate aplikaciju natrag (na primjer kada je novo ažuriranje spremno), možete je jednostavno ponovno omogućiti ovom naredbom:
adb shell pm enable com.adups.fota
Zaključak
Žalosno je saznati da je Micromax doista odgovoran za neželjene instalacije aplikacija. Nadamo se da će vam gornji vodič o onemogućavanju sumnjive aplikacije uštedjeti glavobolje pri radu s nasumičnim aplikacijama i oglasima. Očito, sve ovo neće spriječiti Micromax da nastavi s ovom sumnjivom praksom, ali možda ćete razmisliti o drugom OEM-u za svoju sljedeću kupnju uređaja.