ValdikSS выходит на связь с очередным исследованием.
Купил в магазине кнопочный телефон Digma A172, вставил SIM, а через месяц на номер зарегистрировали WhatsApp без моего ведома.
Скачал дамп прошивки с телефона, выявил бэкдор, проанализировал протокол, написал расшифровщик и эмулятор сетевого взаимодействия.
Бэкдор позволяет злоумышленникам управлять телефоном через интернет: отправлять СМС, принимать СМС от других жертв и отправлять содержимое через интернет, фильтровать входящие сообщения, и т.п.
Digma (российская компания, принадлежит группе компаний Мерлион) отказывается принимать мои доказательства, утверждая, что бэкдора в их устройствах нет, а телефон выходит в интернет якобы для обновления каталога встроенного сервиса подписок. Ни к чему продуктивному общение с компанией не привело.
Я уже исследовал трояны в телефонах в 2021 году, написал по результатам статью, которую прочитали многие производители. Увы, не всех она побудила провести анализ прошивок и цепочки поставки.
Есть ли у вас желание и возможность помочь в исследовании независимому одиночке? Буду благодарен за помощь по любому из пунктов, ищу:
• Человека от какой-либо профильной российской компании, способного понятным образом донести о проблеме в Digma
• Профильного юриста, для составления юридически грамотной претензии в Digma
• Эксперта, способного провести экспертизу прошивки/сетевого протокола и вывести заключение, пригодное для суда
• Взаимодействие с операторами сотовой связи, для оценки количества заражённых устройств по домену CnC
• Контакты в профильных ведомствах РФ, которые могут добиться отзыва устройств из магазинов
Со своей стороны готов предоставить дампы прошивок с нескольких телефонов этой модели, запись трафика, результаты своего исследования (.idb-файл ida, скрипты для расшифровки сетевых пакетов, частичное описание протокола), а также сам телефон в нераспечатанной коробке с защитной пломбой для экспертизы.
В 2021 он уже выкладывал
результаты, не особо помогло что-то изменить, так что если есть ресурсы на то, чтобы повлиять на этот рынок, будет круто)
Если есть профильные эксперты, просит связаться с ним по почте iam@valdikss.org.ru (или в крайнем случае тг
@sipdre_nma)