11:14
2/7/2013

Jeden z użytkowników telefonów Motorola Droid X2 zauważył, że zainstalowana na nim wersja Androida systematycznie wysyła do chmury Motoroli wiele “wrażliwych” informacji — jakby tego było mało, większość bez szyfrowania…

Jakie dane są wysyłane do Motoroli?

Większość telefonów automatycznie łączy się serwerami tzw. usługi Blur (adres to np. ws-cloud112-blur.svcmot.com). W zależności od tego, jakie konta i usługi skonfigurował użytkownik na swoim telefonie, różne dane wędrują do chmury Motoroli, która pełni rolę serwera proxy. Poniżej publikujemy zestawienie danych, które są wysyłane w zależności od usług z jakich korzysta użytkownik na telefonie Motoroli.

Motorola “wykrada” hasło do Facebooka, YouTube i Twittera

Ponieważ ruch do ww. serwisów jest proxowany przez serwery Motoroli (bez szyfrowania) to każdy może podsłuchać, jakich znajomych ma danych użytkownik telefonu oraz jakie posty czyta lub pisze.

Motorola wysyłająca do swojej chmury dane Facebooka

Motorola wysyłająca do swojej chmury hasło Facebooka

Na szczęście samo hasło jest wysyłane po HTTPS — więc nikt oprócz Motoroli go nie pozna.

Microsoft Exchange ActiveSync

Przy każdorazowej aktualizacji ActiveSync do motorolowej chmury wysyłane są:

  • Nazwa DNS serwera ActiveSync (przy pierwszej konfiguracji)
  • Nazwa domeny i userID
  • Pełny adres e-mail konta
  • Nazwa połączenia

…a okazjonalnie wysyłana jest także lista zainstalowanych aplikacji i widżetów Androida.

Motorola Microsoft Exchange ActiveSync

Motorola podkradająca dane skonfigurowanego na telefonie Microsoft Exchange ActiveSync

Motorola ma też twój e-mail

Jeśli do obsługi poczty skonfigurowałeś protokół IMAP/POP3, do chmury motorolowej powędruje twój adres e-mail, nazwy serwerów poczty przychodzącej i wychodzącej (to wszystko bez szyfrowania) oraz inne dane, których na razie nie udało się zdekodować.

Ciekawostka — żadne dane dotyczące GMaila nie są z telefonów Motoroli wysyłane do chmury (no chyba, że ktoś korzysta na telefonie z YouTube lub Picasy – ale wtedy — kolejna ciekawostka — dostęp przez proxy Motoroli do konta Google wzbudza alarm:

GMail wykrywa połączenia z serwerów Motoroli jako podejżane

GMail wykrywa połączenia z serwerów Motoroli jako podejrzane

Lista zainstalowanych aplikacji i logi

Przez motorolową chmurę przepuszczane są także newsy (RSS) i konfiguracja ekranu (skróty do aplikacji, zainstalowane widżety):

Motorola wysyła na swoje serwery listę skrótów do aplikacji jakie użytkownik ma na ekranie

Motorola wysyła na swoje serwery listę skrótów do aplikacji jakie użytkownik ma na ekranie

…oraz periodyczne logi (poziom debug), na szczęście spakowane. Logi zawierają:

  • Numery IMSI i IMEI jednoznacznie identyfikujące aparat i kartę SIM.
  • Numer telefonu i nazwę operatora
  • Dane odnośnie częstotliwości wykonywania rozów i wysyłania SMS-ów
  • Urządzenia Bluetooth z jakimi się sparowaliśmy
  • Zrzuty pamięci i rejestru aplikacji które się zawiesiły

Telefon podpięty do botnetu Motoroli?

Co ciekawe, telefon próbuje się co 9 minut podpinać do czegoś, co wygląda jak serwer Jabbera. Można dowcipnie powiedzieć, że w zasadzie Motorola sprzedaje swoim klientom końcówkę botnetu ;-) Poniżej lista poleceń jakie udało się wydedukować:

Jabberowa usługa Motoroli służaca do zarządzania telefonami "po cichu"

Jabberowa usługa Motoroli służaca do zarządzania telefonami “po cichu”

Wpływ na baterię i pakiet danych

Abstrahując od ogromu prywatnych informacji użytkownika, jakie są wysyłane do Motoroli (jak się wydaje, bez odpowiedniego uzyskania zgody lub zaznaczenia tego faktu w regulaminie) oraz ewentualnych strat z tego tytułu, warto zastanowić się jakie przełożenie na czas życia na baterii i ewentualne pakiety danych ma tak zachowujący sie telefon…

Mam telefon Motoroli — co robić, jak żyć?

Jeśli korzystasz z telefonu Motoroli w swojej firmie (masz skonfigurowane konto Microsoft Exchange ActiveSync), to — o ile poufność danych firmowych ma dla Ciebie znaczenie — powinieneś rozważyć usunięcie konta lub przesiadkę na inny telefon.

Użytkownikom “domowym” polecamy zrootować telefon i wgrać na niego alternatywny firmware. Najprościej jest przeszukać forum XDA Developers pod kątem swojego modelu telefonu i zastosować się do podanych tam instrukcji. Niektórzy z użytkowników raportują, że zrootowanie telefonu i zmiana firmware’u na nieoficjalny, przy tym samym zestawie aplikacji, podniosła czas życia na baterii 10 krotnie (sic!).

Pamiętaj także, aby zmienić hasła do usług, które skonfigurowałeś na telefonie Motoroli — zapewne firma nie jest nimi zainteresowana, ale nie można być pewnym, że bezpieczeństwo serwerów usługi Blur stoi na wysokim poziomie, a co za tym idzie, nie można wykluczyć, że ktoś oprócz Motoroli ma dostęp do twoich danych.

Dodatkowo na pewno warto zainstalować na swoim Androidzie aplikację PDroid, która pomaga chronić prywatne dane użytkowników.

PDroid w akcji

PDroid w akcji

Na koniec warto podkreślić, że wybryk Motoroli to nic specjalnie nowego na arenie producentów telefonów — wytarczy przypomnieć aferę z CarrierIQ, którą opisywaliśmy 2 lata temu w tekście “Większość telefonów jest na podsłuchu”. CarrierIQ pod naporem protestów przyznał się do błędu i zapowiedział wprowadzenie pewnych zmian do sposobu działania ich systemów — jak będzie z Motorolą (która przypomnijmy — od pewnego czasu należy do Google)?

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

60 komentarzy

Dodaj komentarz
  1. Tak się cieszyłem, że mam wszystko odporny telefon. Nawet woda do niego nie wleci! Ale za to wylecieć, to widzę, że wszystko może…

    • Po zakupie Defy i zabawie Blurem, drugi krok to było
      usunięcie orginalnego romu :>

  2. Aż zastanawiam się, czy nie można takiego producenta telefonu pozwać – wszak to można podpiąć pod nielegalne zbieranie danych osobowych. Dodatkowo, wyłączenie HTTPS (skoro ruch do FB leci bez HTTPS przez proxy Motoroli, a domyślnie jest chyba HTTPS włączone?) to chyba nielegalne przełamanie zabezpieczeń?

    • Można, jak najbardziej. Proces z międzynarodową korporacją będzie trwał około 20 lat:)

    • I raczej się go nie wygra :)

    • W polskim sądzie nie ma sensu, ale w USA w przypadku pozwu zbiorowego nie jest to wcale takie oczywiste. Wielu producentów (w tym np. Apple), przegrywało większe lub mniejsze posty. Wszystko zależy od tego czym będzie się bronić Motorola i złamanie jakich praw zarzucą im pozywający.

  3. “PS.” chyba Wam zjadło ;-)

    • Nie, oni to po prostu zaszyfrowali i klucza nam nie dali.

  4. Jaki soft zastępczy na Milestone proponujecie?

    • Np. MIUI

  5. Gigant z Mountain View znowu strzelił sobie w kolano, a najśmieszniejsze jest to, że ich własna usługa podniosła alarm. Niestety sami podpisaliśmy cyrograf z diabłem, który omamił nas swoją wyszukiwarką, a teraz zabiera nam to co najcenniejsze – naszą prywatność, a tym samym wolność.

  6. Zabrakło istotnej uwagi: mowa o telefonie z preinstalowanym motorolowym ROM-ie.

    Bo można zainstalować Cyanogen- lub innego -moda i nie mieć takich problemów.

    • Lepiej: system który nie wywodzi się z Androida. Coś, co
      będzie Cię trzymało jak najdalej od łap Wielkiego Brata
      Google.

    • @Sky: co proponujesz w zamian?

    • Nokię 6310i.

    • Konrad, żarty żartami, ale np. moja Nokia 6151 sprawuje się całkiem dobrze, zdjęcia umie zrobić, MMS-y też wyśle, zadzwoni. Robi wszystko co komórka robić powinna i nie zamierzam jej wymieniać dopóki się do reszty nie rozwali, głównie z powodów finansowych (komornik).

  7. … ROM-em, sorry, zła odmiana.

  8. A taką ochotę miałem nakupienie Motorolki… Chyba jednak sobie daruję. Tylko co tu kupić jak wszystko na podsłuchu…

    • Blackberry?

    • @Nick
      A może dane po BIS/BES nie latają przez Kanadę? Tylko są szyfrowane w całości.

  9. Abstrahując od ogromu prywatnych informacji użytkownika, jakie są wysyłane do Motoroli i ewentualnych strat z tego tytułu, warto zastanowić się jakie przełożenie na czas życia na baterii i ewentualne pakiety danych ma tak zachowujący sie telefon…

    :-) ciekawy wydźwięk tego akapitu – co tam prywatne dane – bateria!

    • a ja się zastanawiałam dlaczego moja motorola przy normalnym lub wręcz rzadkim używaniu od samego jej kupna trzyma dzień (no, góra półtora dnia)

  10. Może warto zacząć wracać do Symbiana?

    • Symbian’s dead.

  11. Wszyscy skupiają się na Motoroli która dymie nas po kątach (tzn. użytkowników telefonu). Ihmo racją jest że nie jest to normalne.
    Tylko w świetle tej sytuacji, jaką mamy pewność że samsung, htc, nokia itd nie robią tego samego?

    • Instalujesz Burp i lecisz :) Jak znajdziesz podobne numery
      o innych producentów to z pewnością Niebezpiecznik się
      zainteresuje! :)

  12. Aha, czyli nie dość, że przysyłają nasze prywatne dane, to do tego robią to bez szyfrowania całości I jakby tego było mało, to zaniża to drastycznie czas życia baterii?

    To ja się chyba cieszę z mojej Nokii 103.

  13. Naprawdę zastanawiam się czy nie wrócić do symbiana, mieć
    zwykły telefon, pocztę na własnym wykupionym serwerze a dane
    trzymać na własnym NAS’ie w domu. Po akcji z PRISM okazało się, że
    mają dostęp do wszystkiego. Zastanawia mnie czemu UE nie
    reaguje?

    • Tajemnica poliszynela. Ot cała zagadka.

  14. Wystarczy, nie synchronizować się z kontem Blur.

  15. Dla wielbicieli Antka pozostaje CyanogenMod a dla tych co
    nie uznają tego g.wna w Javie pozostaje Maemo MeeGO a ostatnio
    Sailfish OS. Telefon trzeba sobie zrobić.

  16. Podejrzewam o podobne praktyki Sony. Bateria Xperii pada
    jak muchy (pomimo pozornej nieaktywności nie wytrzymuje 12h) i
    słychać jak telefon położony koło radia sieje pakietami non stop.
    Chętnie bym sprawdził co transmituje.

    • >słychać jak telefon położony koło radia sieje pakietami non stop.
      bo na pewno rozsyła te rzeczy po gsm

    • to podepnij sie przez acp/router ktory bedzie podpiety do PC z dwoma kartami, zrobisz sobie w ten sposob domowe proxy no i sprawdzisz co leci zwyklym wireshark.

      telefon acp / router komputer pc z dwoma kartami ISP
      albo
      telefon ad-hoc na lapku ISP.

    • Sprawdź poradę j/w.
      Poza tym jeśli masz włączoną autosynchronizację lub małą baterię (pytanie o model Xperii jaki posiadasz) to normalne. Ja mam na S włączone praktycznie wszystko i trzyma max 1 dzień – przywykłem ale test może okazać się ciekawy. Kończy mi się umowa we wrześniu więc chyba sam go wykonam w domu. Pytanie tylko co wybrać innego? :)

    • Ja mam Xperię Tipo z półtora roku. Wi-Fi włączony 24h i codziennie kilkanaście minut rozmów. Ładuję co 3-4 dni. Więc nie wiem w czym problem. Dwoje znajomych namówiłem na ten sam model i też nie narzekają. Może Tipo kupione w Irlandii ma lepszą baterię ;-D

  17. I tylko taki mały szczegół – że telefonów ( pomimo starego
    logo ) Motoroli, nie produkuje już Motka, ale Google… ;)

    • Nie wiesz, to nie pisz.
      Google faktycznie jest właścicielem Motoroli, ale nie produkuje telefonów!

  18. To “sic!” użyte niepoprawnie.

    • Dlaczego tak uważasz?

  19. Ręce mi opadły…
    https://motorola-global-en-aus.custhelp.com/app/answers/detail/a_id/43973
    To jest Motorolowski serwis który samemu się włącza konfiguruje. Jak telefon będzie wymagał wyczyszczenia wszystkich danych, wtedy przez serwis odzyskuje się swoje bezcenne dane. Ot i cała tajemnica!

    • Nawet jeśli w tak “zbożnym” celu, to czemu
      nieszyfrowane??…

  20. Najśmieszniejsze, że według artykułu Gmail – usługa należąca do Google – traktuje jako podejrzane połączenia poprzez proxy należące do… Google – bo przecież firma Motorola Mobility (należy ją wyraźnie odróżniać od Motorola Solutions, która zajmuje się zupełnie czym innym i nie produkuje telefonów, więc nie powinno się pisać po prostu “Motorola”) jest przecież od pewnego czasu własnością Google właśnie…

  21. A propos wgrywania alternatywnego firmware. Czy jest przeprowadzana jakaś rzetelna weryfikacja, czy te dziesiątki rom-ów na XDA nic nie zbiera, wysyła?

  22. Paradyzja ;)

  23. Ciekawe ile firm jeszcze podobne praktyki stosuje.Ja przerzuciłem się na Samsunga.Wcześniej miałem SE Xperia Neo.Ale tylko chwilę,bo niestety zawieszał się co chwile.Ciężko cokolwiek na nim było czasami zrobić,a pomagał(i to nie zawsze)restart poprzez wyjęcie baterii.Jak potem poszukałem na temat tej wady to widziałem,że to jest częste w tym telefonie.Co więcej pisałem do firmy to mi wymyślali jakieś cuda niewidy,a u faceta,u którego kupowałem Samsunga (a zna się na tym,bo też serwis naprawczy swój prowadzi,to nie wiedział czy się śmiać,czy płakać jak się go pytałem o te cuda niewidy jakie mi z firmy podesłali.Np przyczyną mogło być to,że telefon może mam z jednej sieci,a karte sim mam z innej niż macierzysta telefonu(tzn np kupiłem w sieci Orange,ale karte sim mam wrzuconą z Play do telefonu).I radzili mi też sprubować z inną kartą sim.A mieli więcej takich pomysłów na niedziałający telefon tak jak należy.
    Po tym artykule to teraz się zastanawiam jak to wygląda z innymi markami telefonów.Czy moje zdjęcia,pliki,hasła są bespieczne i jest jeszcze ta prywatność,czy tak jak wyżej napisane w artykule.

  24. W poniższym stwierdzeniu jest jedno wielkie niedomówienie:

    Dodatkowo na pewno warto zainstalować na swoim Androidzie aplikację PDroid, która pomaga chronić prywatne dane użytkowników.

    Mianowicie rzeczona aplikacja sama w sobie “nic nie zrobi”. Aby jej użyć, należy mieć:
    a) zmodowany ROM z obsluga (open)pdroida
    b) samemu rozkompilować sobie swój ROM, odpowiednimi skryptami zmodyfikować potrzebne części systemu
    c) ponieważ ze względu na rekompilację/modyfikację niektórych bibliotek/części systemu nie da się łatwo zmodować każdego romu należy zainstalować/użyć romu który jest oficjalnie wsparty przez autorów moda – vide Cyanogenmod wspomniany gdzieś już przez wielu.

    btw. rzeczona aplikacja/mod wspaniale radzi sobie z ochroną danych nie tylko odbierając prawa do wskazanych operacji ale również “ogłupiając” aplikacje za pomocą losowych (mockowanych) czy zaaprobowanych przez użytkownika identyfikatorów urzędzenia/androida/etc.

    Dziękuję za uwagę.

    ps:
    dla zainteresowanych tutaj więcej:
    http://forum.xda-developers.com/showthread.php?t=2098156

  25. Inni producenci telefonów na pewno tak nie robią :)

  26. Zaufanie do amerykańskich firm spada coraz bardziej (nie bez powodu). Te firmy (i rząd USA) chyba mają za nic prywatność i poufność danych użytkowników. Masakra.

    • ale przecierz to juz wiadomo od czasow afery Wattergate, wiec czemu wszyscy sa tym tak zdziwieni ?

  27. Może jednak przydałby się jakiś impuls elektromagnetyczny, który by posłał tą całą elektronikę do piachu. W innym wypadku pozostanie już tylko Szeremietiewo i prośba o azyl… Orwell by się zdziwił :)

    • kilka bomb wodorowych odpalonych na wysokości 200-300 km
      nad ziemią zlikwiduje całą “nowoczesną” elektronikę na jednej
      półkuli. ludziom ani innym urządzeniom nic się nie stanie.

  28. przecież frajerzy – czyli Wy – z radością kupujecie co
    chwile nowy gadżet i sami fundujecie prace agencji wywiadowczych.
    Przecież nikt rozsądny nie chce mieć non stop 24h/dobe przeglądarki
    WWW, poczty ( i beepania co chwile) i innych bzdur. Ale wy chcecie
    bo tak wam się mówi że to dobre. wystarczy chwile
    pomyśleć.

  29. Zgłosiłam sprawę do GIODO. ZObaczymy jaki efekt będzie.

  30. Instalacja cyanogenmod i nie trzeba się martwić, czy ktoś zbiera o nas informacje.
    Właśnie taka zaleta androida – otwartość :)

  31. A ja nie mam takich problemów. Moja Nokia nigdy mnie nie
    sprzeda. Dałem za nią aż 70zł wysyłkowo. Teraz dopiero wiem –
    dlaczego wraki takie jak Nokia 3410, 3510, 6210, 6310 są w takich
    cenach!!!!! :-)

  32. Michał – i nie pisz takich bzdur! Cyanogenmody? Co z tego
    że danych nie dostanie Google gdy… dostaną je inni?? Ty w ogóle
    testowałeś kiedykolwiek coś z Cyjanem??? bo … mój HTC wysyłał
    wszystko co popadnie… nawet gdy wszystko miał wyłączone! Włącz w
    telefonie z Andkiem WSPÓŁDZIELENIE INTERNETU i podłącz go pod lapka
    z aktywnym i włączonym łączem. Pozostaw na 2,3 dni i skanuj porty
    to zobaczysz jakie Cyjany są bezpieczne!

  33. @up – a może jakieś konkrety? Skany tego co i gdzie wysyła? Trochę argumentów poproszę…

  34. Motorolla należy do Lenovo nie do googla.

Odpowiadasz na komentarz Defy user

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: