Пользователь сайта Habr тестируя кнопочные телефоны, которые присутствуют на российском рынке, выявил интересные незадекларированные функции у таких телефонов.
Оказалось, в этих устройствах в прошивки имеются "закладки", позволяющие рассылать СМС без ведома пользователя, перехватывать входящие сообщения и выходить в интернет так, чтобы пользователь об этом не узнал.
В своем материале он привел в пример модель телефона SF63, которая выпускается под российским брендом Irbis. Выяснилось, что этот телефон может использовать номера телефонов для регистрации сторонних лиц в интернет-сервисах, а Dexp SD2810 сети магазинов DNS отправляет СМС-сообщения на платные короткие номера.
Устройства бренда F+ автоматически и незаметно для пользователя отправляют СМС-сообщения на определенный номер с информацией о номере устройства и сим-карте.
В России за последний год подобных устройств было продано более 3 миллионов, так что наличие подобных багов может нанести серьезный ущерб большому количеству жителей страны.
По мнению экспертов, наличие подобных незадекларированных функций может быть заказом от владельцев сервисов подписок. Устройства собираются в Китае, а производители не всегда проводят контроль конечной продукции на предмет подобных уязвимостей, поэтому мошенникам несложно договориться о модификации телефонов из низшего ценового сегмента на этапе сборки.
Кроме того, устройства с закладками нередко используются для доступа к телефонным номерам различных стран, в том числе для получения двухфакторной авторизации при регистрации аккаунтов, например, в мессенджерах.