למד על היכולת של Micromax להתקין אפליקציות מרחוק במכשיר שלך ומה אתה יכול לעשות כדי לעצור את ההתנהגות הזדונית הזו
בעבר הקרוב, חזינו בלא מעט פעולות של יצרני OEM שהתעסקו במכשירים כדי להשיג מטרות שונות, כמו הגדלת תוצאות השוואת ביצועים. שמענו גם על יצרנים וספקים שהוסיפו תוכנת מעקב למכשירים שלהם, כדי לאסוף נתונים על האופן שבו ביצועי המכשיר, סטטיסטיקות לגבי קישוריות קול ונתונים בין המכשיר למגדלי רדיו, או אפילו נתוני זמן ריצה של הסוללה (CarrierIQ אתה מקשיב?). היום, לעומת זאת, דיווחים מגיעים שמשתמשים במכשירים מסוימים של יצרנית הטלפונים ההודית Micromax הבחינו באפליקציות שהותקנו בשקט ללא הסכמתם או רשותם.
נראה שאפילו הסרת התקנה של אפליקציות אלו לא תעזור, שכן זמן קצר לאחר מכן, הן פשוט יופיעו שוב. ברור שזה שגוי בכל כך הרבה רמות, אבל אני רוצה להצביע על כמה בעיות עיקריות כאן בכל מקרה:
- אין שליטה על האפליקציות המותקנות במכשיר שלך מהווה סיכון אבטחה עצום, מכיוון שאינך יכול לבדוק את הרשאות של האפליקציות ואין לך מושג אם האפליקציות האלה הן אכן האפליקציות המקוריות (או שעשויות להשתנות באפליקציה זדונית דֶרֶך)
- מכשירי Micromax לא נוטים להיות הקצה הגבוה ביותר שתוכלו למצוא, כך ששטח האחסון עדיין נחשב מותרות (ב-4GB סה"כ) ומלא את האחסון של המכשיר באפליקציות אקראיות זה בהחלט לא השימוש הטוב ביותר בחלל היקר הזה
- ההורדות מתרחשות גם בעת שימוש ברשת סלולרית, כך שהנתונים היקרים שלך במהירות מלאה יצטמצמו משמעותית אם הטלפון שלך מנסה כל הזמן להוריד אפליקציות שאתה אפילו לא רוצה שיהיו לך
אמנם התרגולים האלה כבר נשמעים מאוד שגויים בפני עצמם, אבל למרבה הצער זה לא נגמר שם. בנוסף להורדת אפליקציות, נראה כי המכשירים הללו מציגים מדי פעם מודעות בסרגל ההתראות. א משתמש reddit מדווח ש-8-10 מודעות מוצגות בו-זמנית, וכשחפש את האפליקציה האחראית להתראות המטרידות הללו, הוצגה לו אפליקציית מערכת בשם "עדכון תוכנה".
אז בשלב זה, זה בהחלט נשמע כאילו Micromax הוסיפה תוכנה מותאמת אישית שמתקינה מרחוק אפליקציות ודוחפת מודעות למכשירים של המשתמשים. אבל לא היינו כאן ב-XDA Developers אם נעצור בהנחה ופשוט נספר לך על הסיפור של מישהו שטוען דברים באינטרנט. לפיכך, החלטנו להרוס את האפליקציה האמורה ולעיין במה שיש בפנים.
ההוכחות
כאשר מתחילים להרוס את היישום (שנקרא למעשה FWUpgrade.apk במערכת הקבצים שלך), הדבר הראשון שאתה שם לב הוא שמדובר ביישום של צד שלישי. חברה סינית בשם Adups פיתחה אותו כתחליף לשירות המניות של Google OTA. ככל הנראה, Micromax החליטה להשתמש בו במקום המניות. המכשול הראשון שאתה צריך לקחת לניתוח נוסף הוא ערפול רמת קוד הבתים, ורוב המקורות ממש לא תענוג לקרוא. עם זאת, אם אתה יודע מה אתה מחפש, האפליקציה לא יכולה להסתיר את הטבע האמיתי שלה. הראיות המוצגות כאן מתחילות במעט קוד שמראה לך את היכולות הפוטנציאליות של האפליקציה הזו ונסגרת עם משהו אפילו יותר מעניין.
נתחיל עם האפליקציות המותקנות בשקט. כדי לעשות זאת מתוך אפליקציה אחרת, עליך להשתמש ישירות ב-Android PackageManager API, או להנפיק את פקודות ההתקנה ממעטפת. המקרה השני נכון כאן, כפי שחלקי הקוד הבאים מראים (שים לב: זהו קוד ג'אווה מפושט, הקוד בפועל נראה קצת שונה בגלל הערפול):
StringBuilder sb = new StringBuilder("pm install -r ");sb.append (s2);String cmd = sb.toString();
כאן אתה יכול לראות StringBuilder חדש שנוצר המכיל את הפקודה pm להתקין, בא אחריו s2, שבמקרה זה הוא משתנה מחרוזת המכיל נתיב של מערכת קבצים לקובץ apk שהורד. המחרוזת המוגמרת מועברת לשיטה חדשה שעושה משהו כזה:
ProcessBuilder processbuilder = ProcessBuilder חדש (cmd); Process Process = processbuilder.start();
כאן אתה יכול לראות שהמחרוזת עם פקודת המעטפת משמשת להפעלת תהליך שמבצע את הפקודה האמורה ולמעשה מתקין בשקט את קובץ ה-apk. בשלב זה אנו יכולים להיות בטוחים למדי ששירות בדיקת ה-OTA ב-Micromax ROMs יכול לא רק להוריד ולהבזק OTAs של מערכת, אלא יש לו גם את היכולת להתקין אפליקציות בשקט. זה כשלעצמו לא אומר יותר מדי, כי זה לא בהכרח דבר רע, אבל יש עוד לבוא.
בתוך האפליקציה מצאתי כמה הפניות לאתר החברה, כולל אחת שיש לו רשימת תכונות נרחבת. שנסתכל על החלק המעניין ביותר?
הנה לך, במילותיה של החברה עצמה. שירות דחיפה של אפליקציה. כריית נתונים במכשיר. פרסום במובייל. זה די תואם את הדיווח הראשוני על reddit, אתה לא חושב? אז, האיש הרע כאן הוא למעשה Micromax מכיוון שאלו תכונות רשמיות של האפליקציה של Adups, ו זה יותר מסביר ש-Micromax מקבלת הכנסות מהתקנות אפליקציה כפויות והודעות מודעות. הם גם בחרו ללכת עם הספק הזה ולא להשתמש בשרתים שלהם יחד עם שירות OTA המניות של גוגל, אז הם היו מודעים לחלוטין לאיזו השפעה תהיה לזה על המשתמשים שלהם.
הפתרון הזמני
אז עכשיו, כשאנחנו יודעים שהדיווחים המצערים האלה היו נכונים, בואו נדבר על איך להיפטר מה"פונקציונליות" הזו. הצעד הראשון של השבתת התכונות האמורות יהיה לעבור להגדרות האפליקציה של המכשירים כדי להשבית את אפליקציית המערכת הנוכלית. עם זאת, זה לא אפשרי במקרה זה, מכיוון ש-Android מאפשר ליצרני ציוד מקורי לבטל את כפתור ההשבתה עבור אפליקציות מסוימות. אבל אל תפחד, יש לנו פתרון זמין והוא יגיד לך איך להשבית את הקוד הזדוני.
1. רוט את המכשיר שלך
הצעד הראשון והחשוב ביותר הוא שורש המכשיר שלך. מכשיר שורשי מאפשר לך לעשות הרבה יותר ממה שהטלפון שלך יאפשר, והוא שלב קריטי בכל שינויי המערכת. מכיוון שיש לא מעט מכשירי Micromax שונים בחוץ, לא אקשר לשום ניצול שורש ספציפי במאמר זה. במקום זאת, עבור אל XDA: הודו וחפש אחר ניצול שורש או מדריך עבור המכשיר שלך. הקפד לקרוא הכל ביסודיות ולעקוב אחר ההוראות במדויק כדי לא לפגוע במכשיר שלך בתהליך. כמו כן, שים לב שככל הנראה זה יבטל את האחריות שלך.
2. הגדר את ADB
כדי להמשיך, תצטרך חיבור ADB תקין למכשיר שלך. ישנם מדריכים רבים על XDA המפרטים כיצד להשיג בדיוק את זה, אבל בתור התחלה, הנה מדריך די מעודכן כיצד להוריד את הקבצים הבינאריים הדרושים וכיצד ליצור חיבור למכשיר שלך.
3. השבת את אפליקציית עדכון התוכנה
כעת, לאחר שהשגת גישת שורש ו-ADB פועל, אתה יכול להמשיך עם השבתת האפליקציה האימתנית האחראית על ההתקנות השקטות והפרסומות הלא רצויות. כל מה שאתה צריך לעשות עכשיו הוא להפעיל שורת פקודה, לוודא שהפקודה נמצאת בספרייה של ה-ADB הבינארי שלך, ולהפעיל את הפקודה הבאה:
adb shell pm השבת את com.adups.fota
אתה יכול לקרוא עוד על השימוש בפקודה זו כאן מדריך על השבתת אפליקציות עם גישת שורש. אנא שים לב שתהליך זה יסיר את היכולת של המכשיר שלך לחפש עדכוני תוכנה ועלול ליצור שגיאה בעת ניסיון לפתוח את קטע עדכון הטלפון בהגדרות. במקרה שאתה צריך את האפליקציה בחזרה (למשל כאשר עדכון חדש מוכן) תוכל להפעיל אותה בקלות שוב עם הפקודה הזו:
adb shell pm אפשר com.adups.fota
הסיכום
מצער שנודע לי ש-Micromax אכן אחראית להתקנות האפליקציה הלא רצויות. אנו מקווים שהמדריך לעיל על השבתת היישום המוצל יחסוך לך כאב ראש בהתמודדות עם אפליקציות ופרסומות אקראיות. ברור שכל זה לא ימנע ממיקרומקס להמשיך בשיטות המפוקפקות הללו, אבל אולי תשקול OEM אחר לרכישת המכשיר הבאה שלך.