Micromax fjärrinstallerar oönskade appar på enheter

På senare tid har vi sett en hel del handlingar av OEM-tillverkare som bråkar med enheter för att uppnå olika mål, som att öka benchmarkresultaten. Vi hörde också om tillverkare och operatörer som lägger till spårningsprogram till sina enheter för att samla in data om hur enheten presterar, statistik om röst- och dataanslutning mellan enheten och radiotorn, eller till och med batteridrifttidsdata (CarrierIQ lyssnar du?). Idag har dock rapporter kommer in att användare av vissa enheter från den indiska telefontillverkaren Micromax märkte att appar installerades tyst utan deras medgivande eller tillåtelse.

Det verkar som att det inte ens hjälper att avinstallera dessa appar, eftersom de kort efter kommer helt enkelt att dyka upp igen. Uppenbarligen är detta fel på så många nivåer, men jag skulle ändå vilja påpeka några viktiga problem här:

• Att inte ha kontroll över vilka appar som är installerade på din enhet utgör en enorm säkerhetsrisk, eftersom du inte får kontrollera behörigheter för apparna och du har ingen aning om dessa appar verkligen är de ursprungliga apparna (eller potentiellt modifierade i en skadlig sätt)
• Micromax-enheter brukar inte vara det högsta du kan hitta, så lagringsutrymme anses fortfarande vara en lyx (vid 4 GB totalt) och att ha enhetens lagring fylld med slumpmässiga appar är verkligen inte den bästa användningen av det dyrbara utrymmet
• Nedladdningarna sker också när du använder ett mobilt nätverk, så din dyra fullhastighetsdata kommer att minska avsevärt om din telefon ständigt försöker ladda ner appar som du inte ens vill ha

Även om dessa metoder redan låter fruktansvärt fel på egen hand, slutar det tyvärr inte där. Förutom att ladda ner appar verkar dessa enheter också visa annonser i meddelandefältet då och då. A reddit användare rapporterar att 8-10 annonser visas på en gång och när han letade upp den ansvariga appen för dessa störande meddelanden, presenterades han för en systemapp som heter "Software Update".

Så vid det här laget låter det verkligen som att Micromax har lagt till anpassad programvara som fjärrinstallerar appar och skickar annonser till användarnas enheter. Men vi skulle inte vara här på XDA Developers om vi slutade med att anta saker och bara berätta om historien om någon som hävdar saker på internet. Därför bestämde vi oss för att riva appen och ta en titt på vad som finns inuti.

Beviset

När du börjar riva programmet (som egentligen heter FWUpgrade.apk på ditt filsystem), är det första du lägger märke till att det är en tredjepartsapplikation. Ett kinesiskt företag vid namn Adups utvecklade det som en ersättning för aktietjänsten Google OTA. Tydligen bestämde sig Micromax för att använda den istället för den vanliga. Det första hindret du måste ta för ytterligare analys är förvirringen av bytekodnivån, och de flesta källorna är verkligen inte ett nöje att läsa. Men om du vet vad du letar efter kan appen inte dölja sin sanna natur. Bevisen som presenteras här börjar med lite kod som visar dig den här appens potentiella förmågor och avslutas med något ännu mer intressant.

Låt oss börja med de tyst installerade apparna. För att göra detta från en annan app måste du antingen använda Android PackageManager API direkt eller utfärda installationskommandona från ett skal. Det andra fallet är sant här, som följande kodbitar visar (observera: detta är förenklad java-kod, den faktiska koden ser lite annorlunda ut på grund av förvirringen):

StringBuilder sb = new StringBuilder("pm install -r ");sb.append (s2);String cmd = sb.toString();

Här kan du se en nyskapad StringBuilder som innehåller kommandot pm installera, följd av s2, som i det här fallet är en strängvariabel som innehåller en filsystemsökväg till en nedladdad apk-fil. Den färdiga strängen skickas sedan till en ny metod som gör något så här:

ProcessBuilder processbuilder = ny ProcessBuilder (cmd); Process process = processbuilder.start();

Här kan du se att strängen med skalkommandot används för att starta upp en process som exekverar nämnda kommando och faktiskt tyst installerar apk-filen. Vid det här laget kan vi vara ganska säkra på att OTA-kontrolltjänsten i Micromax ROM-skivor inte bara kan ladda ner och flasha system-OTAS utan också har förmågan att tyst installera appar. Detta i sig betyder inte för mycket eftersom det inte nödvändigtvis är en dålig sak, men det kommer mer att komma.

Inuti appen hittade jag några referenser till företagets hemsida, inklusive en som har en omfattande lista över funktioner. Ska vi ta en titt på den mest intressanta delen?

Där har du det, med företagets egna ord. App push-tjänst. Enhetsdatautvinning. Mobil reklam. Det stämmer ganska bra med den första rapporten på reddit, tycker du inte? Så den onde här är faktiskt Micromax eftersom dessa är officiella funktioner i appen från Adups, och det är mer än troligt att Micromax får intäkter från påtvingade appinstallationer och aviseringar annonser. De valde också att gå med denna leverantör och inte använda sina egna servrar tillsammans med Googles lager OTA-tjänst, så de var fullt medvetna om vilken inverkan detta skulle få på deras användare.

Den tillfälliga lösningen

Så nu när vi vet att dessa olyckliga rapporter var sanna, låt oss prata om hur man blir av med denna "funktionalitet". Det första steget för att inaktivera nämnda funktioner skulle vara att gå till enhetens appinställningar för att inaktivera den falska systemappen. Detta är dock inte möjligt i det här fallet, eftersom Android tillåter OEM-tillverkare att inaktivera inaktiveringsknappen för vissa appar. Men var inte rädd, vi har en lösning lätt tillgänglig och kommer att berätta hur du inaktiverar den skadliga koden.

1. Rota din enhet

Det första och viktigaste steget är att rota din enhet. En rotad enhet låter dig göra mycket mer än din vanliga telefon skulle tillåta, och är ett kritiskt steg i alla systemändringar. Eftersom det finns en hel del olika Micromax-enheter där ute, kommer jag inte att länka till några specifika rotexploater i den här artikeln. Gå istället över till XDA: Indien och sök efter en rotexploatering eller guide för din enhet. Se till att läsa allt noggrant och följ instruktionerna noggrant för att inte skada din enhet i processen. Observera också att detta med största sannolikhet kommer att ogiltigförklara din garanti.

2. Installera ADB

För att fortsätta måste du ha en fungerande ADB-anslutning till din enhet. Det finns många guider om XDA som beskriver hur man uppnår exakt detta, men till att börja med, här är en ganska uppdaterad guide om hur du laddar ner nödvändiga binärfiler och hur du upprättar en anslutning till din enhet.

3. Inaktivera programmet Software Update

Nu när du har fått root-åtkomst och ADB är igång, kan du fortsätta med att inaktivera den fruktade applikationen som ansvarar för de tysta installationerna och oönskade annonserna. Allt du behöver göra nu är att starta en kommandotolk, se till att prompten finns i katalogen för din ADB-binär och kör följande kommando:

adb-skal pm inaktivera com.adups.fota

Du kan läsa mer om användningen av detta kommando i detta handledning om att inaktivera appar med root-åtkomst. Tänk på att den här processen tar bort möjligheten för din enhet att söka efter programuppdateringar och kan generera ett fel när du försöker öppna avsnittet Telefonuppdatering i inställningarna. Om du behöver appen tillbaka (till exempel när en ny uppdatering är klar) kan du enkelt aktivera den igen med detta kommando:

adb-skal pm aktivera com.adups.fota

Avslutningen

Det är olyckligt att ha fått veta att Micromax verkligen är ansvarigt för de oönskade appinstallationerna. Vi hoppas att ovanstående handledning om att inaktivera den skumma applikationen kommer att spara dig lite huvudvärk när du hanterar slumpmässiga appar och annonser. Uppenbarligen kommer allt detta inte att hindra Micromax från att fortsätta dessa skumma metoder, men du kanske kommer att överväga en annan OEM för ditt nästa köp av enhet.