Spoznajte Micromaxovo zmožnost oddaljenega nameščanja aplikacij v vašo napravo in kaj lahko storite, da preprečite to potencialno zlonamerno vedenje
V nedavni preteklosti smo bili priča kar nekaj dejanjem proizvajalcev originalne opreme, ki se zapletajo z napravami, da bi dosegli različne cilje, kot je na primer povečanje rezultatov primerjalne uspešnosti. Slišali smo tudi o proizvajalcih in operaterjih, ki svojim napravam dodajajo programsko opremo za sledenje, da bi zbrali podatke o tem, kako delovanje naprave, statistiko o glasovni in podatkovni povezljivosti med napravo in radijskimi stolpi ali celo podatke o času delovanja baterije (CarrierIQ poslušaš?). Danes pa prihajajo poročila da so uporabniki nekaterih naprav indijskega proizvajalca telefonov Micromax opazili, da so se aplikacije tiho nameščale brez njihove privolitve ali dovoljenja.
Zdi se, da tudi odstranitev teh aplikacij ne bo pomagala, saj se bodo kmalu zatem preprosto znova pojavile. Očitno je to na toliko ravneh napačno, vendar bi rad vseeno izpostavil nekaj ključnih težav:
- Če nimate nadzora nad tem, katere aplikacije so nameščene v vaši napravi, predstavlja veliko varnostno tveganje, saj ne morete preveriti dovoljenja aplikacij in nimate pojma, ali so te aplikacije res izvirne aplikacije (ali potencialno spremenjene v zlonamerno pot)
- Naprave Micromax običajno niso najvišji razred, ki ga lahko najdete, zato prostor za shranjevanje še vedno velja za razkošje (pri 4 GB skupno) in polnjenje pomnilnika naprave z naključnimi aplikacijami zagotovo ni najboljša uporaba tega dragocenega prostora
- Prenosi se zgodijo tudi pri uporabi mobilnega omrežja, zato se bodo vaši dragi podatki pri polni hitrosti občutno zmanjšali, če vaš telefon nenehno poskuša prenašati aplikacije, ki jih sploh ne želite imeti
Čeprav se te prakse že same po sebi slišijo zelo napačne, se na žalost ne konča pri tem. Poleg prenosa aplikacij se zdi, da te naprave občasno prikazujejo tudi oglase v vrstici z obvestili. A uporabnik reddita poroča, da se naenkrat prikaže 8-10 oglasov in ob iskanju aplikacije, odgovorne za ta moteča obvestila, mu je bila predstavljena sistemska aplikacija, imenovana »Posodobitev programske opreme«.
Na tej točki se zagotovo sliši, kot da je Micromax dodal programsko opremo po meri, ki na daljavo namesti aplikacije in potisne oglase v naprave uporabnikov. Toda pri XDA Developers ne bi bili tukaj, če bi se ustavili pri domnevah in vam preprosto povedali o zgodbi nekoga, ki trdi stvari na internetu. Zato smo se odločili, da omenjeno aplikacijo odstranimo in pogledamo, kaj je notri.
Dokazi
Ko začnete odstranjevati aplikacijo (ki se v vašem datotečnem sistemu dejansko imenuje FWUpgrade.apk), najprej opazite, da gre za aplikacijo tretje osebe. Kitajsko podjetje Adups ga je razvilo kot zamenjavo za osnovno storitev Google OTA. Očitno se je Micromax odločil, da ga bo uporabil namesto standardnega. Prva ovira, ki jo morate sprejeti za nadaljnjo analizo, je zamegljenost ravni bajtne kode in večine virov res ni užitek brati. Če pa veste, kaj iščete, aplikacija ne more skriti svoje prave narave. Tukaj predstavljeni dokazi se začnejo z delčkom kode, ki vam pokaže potencialne zmožnosti te aplikacije in se konča z nečim še bolj zanimivim.
Začnimo s tiho nameščenimi aplikacijami. Če želite to narediti znotraj druge aplikacije, morate neposredno uporabiti Android PackageManager API ali izdati namestitvene ukaze iz lupine. Drugi primer je tukaj resničen, kot kažejo naslednji deli kode (opomba: to je poenostavljena koda Java, dejanska koda izgleda nekoliko drugače zaradi zamegljenosti):
StringBuilder sb = new StringBuilder("pm install -r ");sb.append (s2);String cmd = sb.toString();
Tukaj lahko vidite na novo ustvarjen StringBuilder, ki vsebuje ukaz pm namestite, čemur sledi s2, ki je v tem primeru spremenljivka niza, ki vsebuje pot datotečnega sistema do prenesene datoteke apk. Končni niz se nato posreduje novi metodi, ki naredi nekaj takega:
ProcessBuilder processbuilder = nov ProcessBuilder (cmd);Proces procesa = processbuilder.start();
Tukaj lahko vidite, da se niz z ukazom lupine uporablja za zagon procesa, ki izvede navedeni ukaz in dejansko tiho namesti datoteko apk. Na tej točki smo lahko precej prepričani, da storitev preverjanja OTA v ROM-ih Micromax ne more samo prenesti in bliskati sistemskih OTA, ampak ima tudi možnost tihe namestitve aplikacij. To samo po sebi ne pomeni preveč, saj ni nujno slabo, a še več bo prišlo.
Znotraj aplikacije sem našel nekaj referenc na spletno stran podjetja, vključno z eno ki ima obsežen seznam funkcij. Si ogledamo najbolj zanimiv del?
Tukaj imate, po lastnih besedah podjetja. Storitev potiskanja aplikacij. Podatkovno rudarjenje naprave. Mobilno oglaševanje. To se kar lepo ujema z začetnim poročilom na redditu, se vam ne zdi? Torej je negativec tukaj pravzaprav Micromax, saj so to uradne funkcije aplikacije Adups in več kot verjetno je, da Micromax prejema prihodke od prisilnih namestitev aplikacij in obveščanja oglasi. Prav tako so se odločili za tega ponudnika in ne uporabljajo svojih lastnih strežnikov skupaj z Googlovo osnovno storitvijo OTA, zato so se popolnoma zavedali, kakšen vpliv bo to imelo na njihove uporabnike.
Začasna rešitev
Zdaj ko vemo, da so bila ta nesrečna poročila resnična, se pogovorimo o tem, kako se znebiti te "funkcionalnosti". Prvi korak pri onemogočanju omenjenih funkcij bi bil, da se odpravite v nastavitve aplikacije naprave, da onemogočite lažno sistemsko aplikacijo. Vendar to v tem primeru ni mogoče, saj Android omogoča proizvajalcem originalne opreme, da deaktivirajo gumb za onemogočanje za določene aplikacije. Vendar ne bojte se, imamo na voljo rešitev in vam bomo povedali, kako onemogočiti zlonamerno kodo.
1. Izkoreninite svojo napravo
Prvi in najpomembnejši korak je rootanje vaše naprave. Zakoreninjena naprava vam omogoča veliko več, kot bi omogočal vaš standardni telefon, in je kritičen korak pri vseh spremembah sistema. Ker je na voljo kar nekaj različnih naprav Micromax, se v tem članku ne bom povezoval s kakšnim posebnim korenskim izkoriščanjem. Namesto tega pojdite na XDA: Indija in poiščite root exploit ali vodnik za svojo napravo. Pozorno preberite vse in natančno upoštevajte navodila, da med tem ne poškodujete svoje naprave. Upoštevajte tudi, da bo to najverjetneje razveljavilo vašo garancijo.
2. Nastavite ADB
Če želite nadaljevati, morate imeti z napravo delujočo povezavo ADB. Na XDA je veliko vodnikov, ki podrobno opisujejo, kako doseči točno to, a za začetek, tukaj je dokaj posodobljen vodnik o tem, kako prenesti potrebne binarne datoteke in kako vzpostaviti povezavo z vašo napravo.
3. Onemogočite aplikacijo za posodobitev programske opreme
Zdaj, ko ste pridobili korenski dostop in ADB deluje, lahko nadaljujete z onemogočanjem strašne aplikacije, ki je odgovorna za tihe namestitve in neželene oglase. Vse kar morate zdaj storiti je, da zaženete ukazni poziv, se prepričate, da je poziv v imeniku vaše binarne datoteke ADB, in izvedete naslednji ukaz:
adb shell pm onemogoči com.adups.fota
Več o uporabi tega ukaza lahko preberete v tem vadnica o onemogočanju aplikacij s korenskim dostopom. Upoštevajte, da bo ta postopek vaši napravi onemogočil iskanje posodobitev programske opreme in lahko povzroči napako, ko poskušate odpreti razdelek Posodobitev telefona v nastavitvah. Če potrebujete aplikacijo nazaj (na primer, ko je pripravljena nova posodobitev), jo lahko preprosto znova omogočite s tem ukazom:
adb shell pm omogoči com.adups.fota
Zaključek
Žalostno je izvedeti, da je Micromax res odgovoren za neželene namestitve aplikacij. Upamo, da vam bo zgornja vadnica o onemogočanju senčne aplikacije prihranila nekaj glavobola pri obravnavanju naključnih aplikacij in oglasov. Očitno vse to Micromaxu ne bo preprečilo, da bi nadaljeval s temi sumljivimi praksami, a morda boste pri naslednjem nakupu naprave razmislili o drugem proizvajalcu originalne opreme.