USB-зарядка как источник инфицирования смартфонов

[dil]

via infowatch:

Товарищи собрали “зарядку”, которая, якобы, будучи подключённой к любому устройству на iOS, может устанавливать туда произвольные программы. Полагаю, что и читать оттуда произвольные данные тоже может. Пока устройство достаточно большое, собрано на BeagleBone, но в принципе нынешние технологии вполне позволяют запихнуть его в один маленький незаметный чип внутри USB-зарядки.

Но фиг бы с ней, с iOS, лично я ей не пользуюсь, а вот аналогичная проблема с Андроидом меня таки беспокоит.

В предыдущем телефоне с ещё вторым Андроидом можно было настроить поведение телефона при подключении к USB: как mass storage device, как usb-ethernet для раздачи мобильного интернета в компьютер или наоборот, для получения интернетов из компьютера, в отладочном режиме (для разработчиков софта), или ещё как-нибудь. У меня по умолчанию был выбран режим “только зарядка”, а всё остальное надо было явно включать вручную на телефоне.

В новом же телефоне с четвёртым андроидом ублюдочный MTP включается автоматически (если только телефон не был предварительно заблокирован). В любом случае, если телефон разблокировать, когда он уже подключён, то MTP тут же включается, и как это поведение изменить — я не нашёл.

Хуже того, у меня постоянно самопроизвольно включается режим USB debugging. Сколько я его ни выключал в Developer options, при подключении к компьютеру по USB он тут же включается обратно. А ведь он позволяет не только читать и писать произвольные данные (хоть и от пользователя, а не от рута), но и устанавливать программы.

И в отличие от вышеупомянутой iOS, даже ломать ничего не надо. Заходи кто хочешь, устанавливай что хочешь.. Как-то оно печально.

Оригинал этой записи в личном блоге.

Comments

[salas]

Последнее они частично починили:
When you connect a device running Android 4.2.2 or higher to your computer, the system shows a dialog asking whether to accept an RSA key that allows debugging through this computer.

[dil]

У меня пока 4.1.2, и когда будет апдейт, и будет ли вообще - фиг знает. И в любом случае - нафига ж было ломать то, что разумно работало?
Похоже, Гугл таки получит приз в номинации "разочарование года".

[olegnet.ya.ru]

Это HTC перманентное разочарование. Вот уж по их аппаратам про Андроид точно судить не стоит. При том, что сам HTC One – хорошая железка, работает LTE в Москве и экран прекрасный.

Попробовал твой кейс на Мотороле с тем же андроидом 4.1.2 – нет этого глюка, а на моём HTC One есть.

Они обещали начать продавать его на Google Play в штатах с оригинальным андроидом, уже в июне.
У моего бутлоадер разлочивается через официальный сайт.
Жду, буду перешивать.

[dil]

В смысле, в мотороле MTP можно отключить?

[olegnet.ya.ru]

там не включается usb debug самостоятельно, вопреки настройкам, как на One
выключить mtp, как я понимаю, нельзя, но можно переключить его на ptp
mtp и usb debug не одно и тоже, через mtp приложения нельзя поставить, например

[dil]

Я знаю, что MTP и debug - совершенно разные вещи, я просто хочу их оба отключить ;)

PTP - это picture transfer protocol который? Так это подмножество MTP, в целом та же фигня.

Старый телефон по USB одновременно мог делать только что-нибудь одно, или UMS, или сеть, или debug. А новый может одновременно и MTP, и сеть, например. Или вот debug одновременно с mtp тоже может, сейчас запустил adb shell и копирование файла по MTP, работает.

[dil]

Не перманентное. В Desire S меня всё устраивало. Кроме размера экрана, из-за чего я, собственно, и взял HTC One.

[olegnet.ya.ru]

Поставь жест или пароль на разблокировку экрана и он не будет так просто включаться

[olegnet.ya.ru]

а, ты уже про это написал )

[dil]

А как его насовсем отключить?

[olegnet.ya.ru]

Это глюк HTC