Uzziniet par Micromax spēju attālināti instalēt lietotnes jūsu ierīcē un to, ko varat darīt, lai apturētu šo potenciāli ļaunprātīgo darbību.
Nesenā pagātnē mēs bijām liecinieki diezgan daudziem oriģinālo iekārtu ražotājiem, kas sajaucas ar ierīcēm, lai sasniegtu dažādus mērķus, piemēram, palielinātu etalona rezultātus. Mēs arī dzirdējām par ražotājiem un pārvadātājiem, kuri savām ierīcēm pievieno izsekošanas programmatūru, lai apkopotu datus par to, kā ierīces veiktspēju, statistiku par balss un datu savienojumu starp ierīci un radio torņiem vai pat akumulatora darbības laika datus (CarrierIQ vai jūs klausāties?). Tomēr šodien ziņojumi nāk ka noteiktu Indijas tālruņu ražotāja Micromax ierīču lietotāji pamanīja, ka lietotnes tiek klusi instalētas bez viņu piekrišanas vai atļaujas.
Šķiet, ka pat šo lietotņu atinstalēšana nepalīdzēs, jo neilgi pēc tam tās vienkārši atkal parādīsies. Acīmredzot tas ir nepareizi daudzos līmeņos, taču es tomēr vēlos norādīt uz dažām galvenajām problēmām:
- Ja jūs nevarat kontrolēt, kuras lietotnes ir instalētas jūsu ierīcē, tas rada milzīgu drošības risku, jo jūs nevarat pārbaudīt lietotņu atļaujas, un jums nav ne jausmas, vai šīs lietotnes patiešām ir oriģinālās lietotnes (vai potenciāli modificētas ļaunprātīgā veidā veids)
- Micromax ierīces parasti nav augstākās klases, ko varat atrast, tāpēc uzglabāšanas vieta joprojām tiek uzskatīta par greznību (4 GB kopā) un ierīces krātuves piepildīšana ar nejaušām lietotnēm noteikti nav labākais šīs vērtīgās vietas izmantojums
- Lejupielādes notiek arī, izmantojot mobilo tīklu, tāpēc jūsu dārgie pilna ātruma dati ievērojami samazināsies, ja tālrunis nepārtraukti mēģina lejupielādēt lietotnes, kuras jūs pat nevēlaties.
Lai gan šīs prakses pašas par sevi jau izklausās ļoti nepareizi, diemžēl ar to viss nebeidzas. Šķiet, ka ne tikai lietotņu lejupielādei, bet arī paziņojumu joslā šīs ierīces ik pa laikam rāda reklāmas. A reddit lietotājs ziņo, ka vienlaikus tiek rādītas 8-10 reklāmas, un, meklējot atbildīgo lietotni par šiem satraucošajiem paziņojumiem, viņam tika piedāvāta sistēmas lietotne ar nosaukumu "Software Update".
Tāpēc šobrīd noteikti izklausās, ka Micromax ir pievienojis pielāgotu programmatūru, kas attālināti instalē lietotnes un nosūta reklāmas uz lietotāju ierīcēm. Taču mēs nebūtu šeit, XDA Developers, ja mēs pārstātu pieņemt lietas un vienkārši pastāstītu jums par stāstu par to, ka kāds apgalvo, ka internetā. Tādējādi mēs nolēmām nojaukt minēto lietotni un apskatīt, kas tajā atrodas.
Pierādījumi
Sākot nojaukt lietojumprogrammu (kas jūsu failu sistēmā faktiski tiek saukta par FWUpgrade.apk), vispirms pamanāt, ka tā ir trešās puses lietojumprogramma. Ķīnas uzņēmums Adups to izstrādāja kā Google OTA pakalpojuma nomaiņu. Acīmredzot Micromax nolēma to izmantot akciju vietā. Pirmais šķērslis, kas jums jāpārvar turpmākai analīzei, ir baitu koda līmeņa aptumšošana, un lielāko daļu avotu tiešām nav patīkami lasīt. Tomēr, ja zināt, ko meklējat, lietotne nevar noslēpt tās patieso būtību. Šeit sniegtie pierādījumi sākas ar nelielu kodu, kas parāda šīs lietotnes potenciālās spējas un noslēdz kaut ko vēl interesantāku.
Sāksim ar klusi instalētajām lietotnēm. Lai to izdarītu no citas lietotnes, jums ir tieši jāizmanto Android PackageManager API vai jāizdod instalēšanas komandas no čaulas. Otrais gadījums ir patiess šeit, kā parādīts tālāk norādītajās koda daļās (piezīme: šis ir vienkāršots Java kods, faktiskais kods izskatās nedaudz savādāks neskaidrības dēļ):
StringBuilder sb = new StringBuilder("pm install -r ");sb.append (s2);String cmd = sb.toString();
Šeit jūs varat redzēt jaunizveidotu StringBuilder, kas satur komandu pm instalēt, kam seko s2, kas šajā gadījumā ir virknes mainīgais, kas satur failu sistēmas ceļu uz lejupielādēto apk failu. Pēc tam pabeigtā virkne tiek nodota jaunai metodei, rīkojoties šādi:
ProcessBuilder processbuilder = jauns ProcessBuilder (cmd); Process process = processbuilder.start();
Šeit jūs varat redzēt, ka virkne ar čaulas komandu tiek izmantota, lai palaistu procesu, kas izpilda minēto komandu un faktiski klusi instalē apk failu. Šobrīd mēs varam būt diezgan pārliecināti, ka OTA pārbaudes pakalpojums Micromax ROM var ne tikai lejupielādēt un mirgot sistēmas OTA, bet arī klusi instalēt lietotnes. Tas pats par sevi nenozīmē pārāk daudz, jo tas ne vienmēr ir slikts, taču ir vēl vairāk.
Lietotnē es atradu dažas atsauces uz uzņēmuma vietni, tostarp vienu kam ir plašs funkciju saraksts. Vai apskatīsim interesantāko daļu?
Tur jums tas ir, uzņēmuma vārdiem sakot. Lietotņu push pakalpojums. Ierīču datu ieguve. Mobilā reklāma. Tas diezgan labi atbilst sākotnējam ziņojumam par reddit, vai ne? Tātad, sliktais puisis šeit patiesībā ir Micromax, jo šīs ir oficiālās Adups lietotnes funkcijas un ir vairāk nekā iespējams, ka Micromax gūst ieņēmumus no piespiedu lietotņu instalēšanas un paziņošanas reklāmas. Viņi arī izvēlējās izmantot šo pakalpojumu sniedzēju un neizmantot savus serverus kopā ar Google akciju OTA pakalpojumu, tāpēc viņi pilnībā apzinājās, kādu ietekmi tas atstās uz viņu lietotājiem.
Pagaidu risinājums
Tagad, kad mēs zinām, ka šie nelaimīgie ziņojumi bija patiesi, parunāsim par to, kā atbrīvoties no šīs "funkcionalitātes". Pirmais solis, lai atspējotu minētās funkcijas, būtu pāriet uz ierīču lietotņu iestatījumiem, lai atspējotu negodīgo sistēmas lietotni. Tomēr šajā gadījumā tas nav iespējams, jo Android ļauj oriģinālo iekārtu ražotājiem deaktivizēt atspējošanas pogu noteiktām lietotnēm. Bet nebaidieties, mums ir viegli pieejams risinājums, kas jums pateiks, kā atspējot ļaunprātīgo kodu.
1. Sakņojiet savu ierīci
Pirmais un vissvarīgākais solis ir ierīces saknēšana. Iesakņota ierīce ļauj paveikt daudz vairāk, nekā ļautu jūsu rezerves tālrunis, un tā ir būtisks solis visās sistēmas modifikācijās. Tā kā ir diezgan daudz dažādu Micromax ierīču, šajā rakstā es nesaistīšu nevienu konkrētu saknes izmantošanu. Tā vietā dodieties uz XDA: Indija un meklējiet savai ierīcei saknes izmantošanu vai ceļvedi. Noteikti rūpīgi izlasiet visu un precīzi izpildiet norādījumus, lai nesabojātu ierīci. Ņemiet vērā arī to, ka tas, visticamāk, anulēs jūsu garantiju.
2. Iestatiet ADB
Lai turpinātu, jums ir nepieciešams ADB savienojums ar ierīci. XDA ir daudz rokasgrāmatu, kurās ir sīki aprakstīts, kā tieši to sasniegt, taču iesācējiem šeit ir diezgan atjaunināts ceļvedis par to, kā lejupielādēt nepieciešamos bināros failus un kā izveidot savienojumu ar ierīci.
3. Atspējojiet programmatūras atjaunināšanas programmu
Tagad, kad esat ieguvis root piekļuvi un ADB ir izveidota un darbojas, varat turpināt atspējot šausmīgo lietojumprogrammu, kas ir atbildīga par klusajām instalācijām un nevēlamajām reklāmām. Viss, kas jums jādara tagad, ir aktivizēt komandu uzvedni, pārliecināties, vai uzvedne atrodas jūsu ADB binārā faila direktorijā, un izpildīt šādu komandu:
adb shell pm atspējot com.adups.fota
Vairāk par šīs komandas izmantošanu varat lasīt šajā sadaļā apmācība par lietotņu atspējošanu ar root piekļuvi. Lūdzu, ņemiet vērā, ka šis process noņems jūsu ierīcei iespēju meklēt programmatūras atjauninājumus un var radīt kļūdu, mēģinot iestatījumos atvērt sadaļu Tālruņa atjaunināšana. Ja jums ir nepieciešama lietotne atpakaļ (piemēram, kad ir gatavs jauns atjauninājums), varat to viegli iespējot vēlreiz, izmantojot šo komandu:
adb shell pm iespējot com.adups.fota
Noslēgums
Žēl, ka uzzināju, ka Micromax patiešām ir atbildīgs par nevēlamu lietotņu instalēšanu. Mēs ceram, ka iepriekš sniegtā apmācība par ēnas lietojumprogrammas atspējošanu ietaupīs jums galvassāpes, strādājot ar nejaušām lietotnēm un reklāmām. Acīmredzot tas viss netraucēs Micromax turpināt šīs ēnas darbības, taču, iespējams, nākamajam ierīces iegādei jūs apsvērsiet citu OEM.