Это перевод страницы, написанной на английском языке.
Лазейки в несвободных программах
Несвободные программы очень часто вредоносны (спроектированы несправедливо по отношению к пользователю). Несвободные программы контролируются своими разработчиками и производителями, что дает им власть над пользователями; это в корне несправедливо. Разработчики часто пользуются этой властью в ущерб пользователям, которых они должны обслуживать.
Как правило, это принимает форму вредоносных функций.
Некоторые вредоносные функции опосредованы лазейками. Здесь приведены примеры лазеек, которые содержат одну или несколько таких лазеек. Они разбиты на группы по тому, что они (насколько нам известно) позволяют. Лазейки, которые допускают полный контроль над содержащими их программами, обозначены как “универсальные”.
Если вам известен пример, который должен быть на этой странице, но его здесь нет, сообщите нам по адресу <[email protected]>. Упомяните один-два заслуживающих доверия URL в качестве конкретных свидетельств.
Функции лазеек
Шпионаж
-
2020-08
Google Nest захватывает ADT. Google разослала обновление программ для своих звуковых колонок с помощью своего черного хода, который следит за такими системами, как пожарная сигнализация, и тогда оповещает ваш телефон о тревоге. Это значит, что устройства теперь прослушивают не только слова, по которым должны срабатывать. Google уверяет, что обновление было разослано преждевременно и случайно, и Google планировала обнародовать эту новую особенность и предложить ее тем, кто платит за нее.
-
2017-06
Во многих моделях видеокамер с подключением к Интернету есть чудовищная лазейка — у них есть учетная запись с неизменяемым паролем, и эти учетные записи к тому же невозможно удалить.
Поскольку эти учетные записи с неизменяемыми паролями невозможно удалить, это не просто проблема защиты; это означает черный ход, через который изготовитель (или правящий режим) могут шпионить за пользователями.
-
2017-01
В WhatsApp есть особенность, которую описывали как “черный ход”, потому что она может позволить государству аннулировать шифрование в этом приложении.
Разработчики заверяют, что это не задумывалось как черный ход, и вполне возможно, это правда. Но остается главный вопрос: функционирует ли это как черный ход? Раз программа несвободна, мы не можем проверить это, изучив ее.
-
2015-12
Компания Microsoft уже поставила лазейку в свое шифрование диска.
-
2014-09
Apple может извлекать данные с удаленных iPhone для государства и регулярно делает это.
Возможно, ситуация улучшилась после улучшений в безопасности iOS 8; но не так сильно, как утверждает Apple.
Изменение данных или настроек пользователя
-
2022-07
BMW теперь соблазняет британских клиентов платить за встроенный подогрев сидений в их автомобилях в порядке подписки. У людей есть также возможность купить функцию, когда они платят за автомобиль, но те, кто купил подержанную машину, вынуждены платить BMW дополнительно, чтобы удаленно активировать подогрев. Это, вероятно, делается компанией с помощью черного хода в программах автомобиля.
-
2021-09
В некоторых телефоны Xiaomi есть вредоносная функция запикивания фраз, выражающих политические взгляды, которые не по нраву китайскому правительству. В телефонах, продаваемых в Европе, Xiaomi оставляет это изначально выключенным, но у компании есть черный ход, чтобы включить цензуру.
Это естественный результат присутствия несвободных программ на устройстве, которое может связываться с компанией-производителем.
-
2019-05
BlizzCon–2019 налагала требование работать с несвободным приложением на телефоне, чтобы получить пропуск на мероприятие.
Это приложение — программа-шпион, которая может заглядывать в массу конфиденциальных данных, в том числе местоположение пользователя и адресную книжку. Оно также почти полностью контролирует телефон.
-
2018-09
В системе Android есть лазейка для удаленного изменения настроек “пользователя”.
В статье предполагается, что это универсальная лазейка, но это не ясно.
-
2016-07
Приложение Dropbox для Macintosh берет под свой контроль элементы пользовательского интерфейса после того, как получит обманом у пользователя пароль системного администратора.
-
2016-04
Приложение контроллера теста на беременность может не только шпионить за всевозможными данными в телефоне и в учетных записях сервера, оно может и подменять их.
-
2015-12
В некоторых маршрутизаторах D-Link есть черный ход для моментального изменения настроек.
-
2015-11
У Google долго была лазейка для удаленного отпирания устройства на базе Android, если только его диск не зашифрован (это возможно начиная с Android 5.0 Lollipop, но отнюдь не по умолчанию.)
-
2015-11
Автомобили Caterpillar поставляются с черным ходом для удаленного отключения двигателя.
-
2015-09
Современные бесплатные игры собирают широкий спектр данных о своих пользователях, а также их друзьях и знакомых.
Хуже того — они делают это по рекламным сетям, которые объединяют данные, собранные различными программами и сайтами такого рода, сделанными разными компаниями.
Они применяют эти данные, чтобы навязывать людям покупки; они охотятся на “китов”, которых можно заставить тратить много денег. Они пользуются также черным ходом, чтобы подтасовывать игру в пользу конкретных игроков.
Хотя статья описывает бесплатные игры, такая же тактика может применяться и в платных играх.
-
2014-03
Устройства Samsung Galaxy под управлением несвободных версий Android поставляются с лазейкой, которая предоставляет удаленный доступ к файлам, хранящимся на устройстве.
-
2012-10
В Amazon Kindle есть черный ход, которым пользовались, чтобы удаленно стирать книги. Одной из таких книг был роман Джорджа Оруэлла 1984.
На критику Amazon ответила, что будет удалять книги только по приказу от государства. Однако так было не долго. В 2012 году компания очистила устройство пользовательницы и удалила ее учетную запись, а затем предложила “объяснения” в стиле Кафки.
Есть ли черные ходы у других электронных книг в их несвободных программах? Мы не знаем и не можем узнать. Нет причин полагать, что их нет.
-
2010-11
В iPhone есть лазейка для удаленного стирания. Она не всегда действует, но пользователи активируют ее, не понимая, что они это делают.
Установка, удаление или отключение программ
-
2024-01
Диски UHD Blu-ray загружены вредоносными программами наихудших видов, в том числе AACS, цифровым управлением ограничениями. Для воспроизведения записей на персональном компьютере требуется Intel ME, в которой есть черные ходы, и которую невозможно отключить. В каждом дисководе Blu-ray есть также черный ход, который позволяет разработчику стандарта “отзывать” возможность проигрывания любого диска, ограниченного стандартом AACS.
-
2023-02
Microsoft отключает Internet Explorer по сети, принудительно перенаправляя пользователей на Microsoft Edge.
Навязывание такого изменения вредоносно, и тот факт, что перенаправление идет с одной несправедливой программы (Internet Explorer) на другую несправедливую программу (Edge) не извиняет этого.
-
2023-01
Microsoft выпустила “обновление”, которое устанавливает программу слежки на компьютерах пользователей, чтобы собирать данные о некоторых установленных программах для пользы Microsoft. Обновление проводится автоматически, программа выполняется “однократно и безмолвно”.
-
2022-10
Xiaomi поставляет средство разблокировки смартфонов и планшетов Xiaomi, но требует создания учетной записи на серверах компании, что означает предоставление номера телефона пользователя. Это цена, которую вам приходится платить за “законное” пользование свободной операционной системой на устройствах Xiaomi. Но производитель оставляет за собой контроль над разблокированным устройством через черный ход в загрузчике — тот самый черный ход, по которому устройство было удаленно разблокировано.
-
2022-08
Tesla продает дополнительную программную функцию, которую водителям не разрешено использовать.
Эта практика основана на черном ходе, что само по себе несправедливо. Просить пользователей покупать что-то на много лет вперед, чтобы не пришлось платить еще больше,— это нечестно.
-
2021-10
Компания Adobe лицензировала свой Flash Player китайской сети Zhong Cheng, которая предлагает программу в одном пакете с программами-шпионами и лазейкой, которая может деактивировать их по сети.
Ответственность лежит на компании Adobe, поскольку они дали сети Zhong Cheng на это разрешение. Эта несправедливость связана с “неправильным применением” Закона об авторском праве цифрового тысячелетия, но “правильное” применение этого закона — еще большая несправедливость. Есть ряд ошибок, связанных с этим законом.
-
2021-08
В новых телевизорах Samsung есть черный ход, по которому Samsung может их выводить из строя по сети.
-
2021-06
Компания Google автоматически установила приложение на многие телефоны Android. Это приложение могло бы наносит вред, а могло бы не наносить, но власть Google над телефонами с несвободной системой Android опасна.
-
2020-12
В Adobe Flash Player есть универсальный черный ход, который позволяет компании Adobe контролировать программу и, например, выключать ее, когда угодно. Adobe будет блокировать материалы в формате Flash при работе Flash Player начиная с 12 января 2021 года, что показывает, что у них есть доступ ко всем экземплярам Flash Player через черный ход.
Черный ход не будет опасен в будущем, поскольку он отключит несвободную программу и вынудит пользователей удалить ее, но он был несправедливостью долгие годы. Пользователям следовало удалить Flash Player еще до окончания его жизненного цикла.
-
2020-07
BMW пытается блокировать определенные функции в своих автомобилях и вынуждать людей платить за то, чтобы пользоваться частью автомобиля, которую они уже купили. Это делается посредством принудительного обновления программ автомобиля с помощью черного хода, работающего по радио.
-
2019-08
Очень популярное приложение, находящееся в магазине Google Play, содержало модуль, написанный для того, чтобы тайно устанавливать вредоносные программы на компьютер пользователя. Разработчики приложения регулярно применяли его, чтобы заставлять компьютер получать по сети и выполнять программы по их желанию.
Это конкретный пример того, чему подвергаются пользователи, когда они работают с несвободными приложениями. Они никогда не могут быть полностью уверенными, что несвободное приложение безопасно.
-
2019-07
Оказывается, Apple заявляет, что в MacOS есть лазейка для автоматического обновления некоторых (всех?) приложений.
Конкретное изменение, описанное в статье, не было вредоносным — оно защищало пользователей от слежки со стороны третьих лиц — но это отдельный вопрос.
-
2018-11
В Corel Paintshop Pro есть лазейка, с помощью которой можно заставить его перестать работать.
Эта статья полна ошибок, путаницы и предвзятости, которые мы считаем своим долгом выявить, поскольку мы даем на это ссылку.
- Получение патента не “позволяет” компании делать что-то конкретное в своих продуктах. Патент позволяет компании преследовать другие компании, если они делают что-то конкретное в своих продуктах.
- Правила компании о том, когда нападать на пользователей с помощью черного хода, здесь не имеют значения. Черный ход уже сам по себе несправедлив, а применение его тоже всегда несправедливо. Ни у какого разработчика программ не должно быть такой власти над пользователями.
- “Пиратство” означает нападение на корабли. Применение этого слова в отношении обмена копиями очерняет; не очерняйте обмен.
Мысль об “охране нашей интеллектуальной собственности” представляет собой полнейшее заблуждение. Уже само выражение “интеллектуальная собственность” представляет несуразное обобщение понятий, не имеющих между собой ничего общего.
Кроме того, разговоры об “охране” этого несуразного обобщения — отдельный абсурд. Это все равно что вызывать полицию, потому что соседские ребятишки играют у вас во дворе, заявляя, что вы “охраняете линию раздела”. Дети не могут повредить линии раздела, даже молотком, потому что это абстракция, на которую не могут повлиять физические действия.
-
2018-04
Некоторые “интеллектуальные” телевизоры автоматически загружают устарения, которые устанавливают программу слежки.
Мы ссылаемся на статью в подтверждение фактов, которые в ней представлены. К сожалению, она заканчивается слабохарактерной рекомендацией уступить Netflix. Приложение Netflix тоже вредоносно.
-
2015-11
В несвободной библиотеке Baidu, Moplus, есть лазейка, с помощью которой можно “высылать файлы на сервер”, а также принудительно устанавливать приложения.
Она применяется в 14000 приложениях Android.
-
2011-12
В дополнение к универсальной лазейке, в Windows 8 есть лазейка для удаления программ по сети.
Вы, конечно, могли бы решить позволить службе безопасности, которой вы доверяете, дезактивировать по сети программы, которые она считает вредоносными. Но удаление программ оправдать нельзя, и у вас должно быть право решать, кому доверять таким образом (и доверять ли кому-нибудь вообще).
-
2011-03
В Android у Google есть черный ход для удаления программ по сети (он был в программе под названием GTalkService, которую, видимо, включили в состав Google Play).
Google может также принудительно устанавливать программы по сети. Это не эквивалентно универсальному черному ходу, но допускает различные грязные трюки.
Хотя осуществление этой власти компанией Google до сих пор не было вредительским, дело в том, что ни у кого не должно быть такой власти, которой можно было бы вредительски воспользоваться. Вы, конечно, могли бы решить позволить службе безопасности дезактивировать по сети программы, которые она считает вредоносными. Но возможность удаления программ оправдать нельзя, и у вас должно быть право решать, кому доверять таким образом (и доверять ли кому-нибудь вообще).
-
2008-08
В iPhone есть лазейка, которая позволяет Apple удалять по сети приложения, которые Apple сочтет “неподходящими”. Джобс говорил, что компания может обладать этой властью, потому что мы, конечно, можем доверять Apple.
Полный контроль
-
2023-05
HP поставляет принтеры с универсальным черным ходом, и недавно компания применила его, чтобы саботировать их, устанавливая вредоносные программы по сети. Программы заставляют принтер отказываться работать с чернильными картриджами других фирм и даже со старыми картриджами HP, срок работы которых компания теперь объявляет “истекшим”. HP называет черный ход “динамичной защитой” и имеет наглость заявлять, что эта “защита” защищает пользователей от вредоносных программ.
Если вы владеете принтером HP, который все еще может пользоваться картриджами других фирм, мы настоятельно рекомендуем отключить его от Интернета. Это гарантирует, что HP не саботирует его “обновлением” программ на нем.
Обратите внимание, как доверчиво автор статьи повторяет утверждение HP, что “динамическая защита” защищает пользователей от вредоносных программ, не признавая того, что статья демонстрирует, что она делает все наоборот.
-
2021-11
NordicTrack, компания, продающая тренажеры с возможностью показа видеозаписей, накладывает ограничения на то, что люди могут смотреть, а недавно отключила эту функцию, которая до того работала. Это было проведено в процессе автоматического обновления и, возможно, с помощью универсального черного хода.
-
2021-06
Компания Peloton, производящая беговые дорожки, недавно отключило людям основные функции их беговых дорожек, обновив программы. Теперь компания просит, чтобы люди подписывались на то, за что они уже заплатили.
Программы, применяемые в беговой дорожке, несвободны и, вероятно, в них есть черный ход для принудительного обновления программ. Это дает урок: если продукт общается с внешними сетями, нужно ожидать, что он принимает в себя новые вредоносные программы.
Обратите внимание, что компания, производящая этот продукт, заявляла, что они работают над тем, чтобы отменить изменения, чтобы людям больше не нужно было подписываться для того, чтобы пользоваться отключенной функцией.
Очевидно, взрыв общественного возмущения заставил компанию пойти на попятный. Если мы хотим полагаться на это, нужно поднять возмущение против вредоносных функций (и несвободных программ, которые вводят их) до такой степени, чтобы даже самые могущественные компании не смели этого делать.
-
2021-02
Microsoft принудительно удаляет проигрыватель Flash с компьютеров, работающих под управлением Windows 10 с помощью универсального черного хода в Windows.
Тот факт, что Flash был выключен компанией Adobe, не извиняет злоупотребления властью. Природа несвободных программ, таких как Windows, дает разработчику власть навязывать свои решения пользователям; свободные программы, с другой стороны, позволяет пользователям принимать собственные решения.
-
2020-11
В некоторых беспроводных маршрутизаторах Wavelink и JetStream есть универсальный черный ход, который позволяет неидентифицированным пользователям удаленно контролировать не только эти маршрутизаторы, но также любые устройства, подключенные к сети. Есть свидетельство, что эта уязвимость активно эксплуатируется.
Если вы подумываете о покупке маршрутизатора, мы советуем вам остановиться на одном из работающих под управлением свободных программ. Любые попытки ввода в него вредоносных функций (напр., через обновление программ в них) будет обнаружено сообществом и вскоре исправлено.
Если вам не посчастливилось иметь маршрутизатор, работающий на несвободных программах, не отчаивайтесь! Возможно, вам удастся заменить его программы на свободную операционную систему, такую как libreCMC. Если вы не знаете, как это делается, обратитесь в ближайшую группу пользователей GNU/Linux.
-
2020-11
Новое приложение, опубликованное компанией Google, позволяет банкам и кредиторам дезактивировать людям устройства с Android, если они не вносят платежей. Если чье-то устройство дезактивировано, его функции будут ограничены простейшими, такими как вызов экстренных служб или доступ к настройкам.
-
2020-07
BMW будет включать и выключать функции в автомобилях на расстоянии через универсальный черный ход.
-
2020-04
Условия пользования Google Play настаивают на том, чтобы пользователь Android допускал присутствие универсального черного хода в приложениях, выпускаемых компанией Google.
Здесь не говорится, содержит ли в настоящее время какое-либо из приложений Google универсальный черный ход, но это вторичный вопрос. С точки зрения нравственности, требовать, чтобы люди принимали заранее определенное дурное обращение эквивалентно такому обращению. Если последнее заслуживает осуждения, то и первое заслуживает такого же осуждения.
-
2020-01
Телефоны на базе Android, финансируемые правительством США, поставляются с предустановленными программами рекламы и лазейкой для принудительной установки приложений
Программы рекламы находятся в модифицированной версии основного приложения конфигурирования системы. Лазейка представляет собой скрытную добавку к программе, заявленное назначение которой состоит в том, чтобы быть универсальной лазейкой программ для устройств.
Другими словами, у программы, предназначение которой вредоносно, есть секретное вторичное вредоносное назначение. Все это в дополнение к вредоносным программам самой системы Android.
-
2019-10
В приложении Китайской коммунистической партии “Изучай великую нацию” app обнаружили лазейку, позволяющую разработчикам выполнять любые команды в телефоне пользователей с привилегиями “сверхпользователей”.
Замечание: в редакции этой статьи из “Вашингтон пост” (чтение напрямую затруднено, но возможно после копирования и вставки в текстовом редакторе) присутствует разъяснение, где сказано, что тесты проводились только на версии приложения под Android и что, согласно Apple, “этого рода ‘сверхпользовательская’ слежка не могла бы быть введена на операционной системе Apple”.
-
2019-08
Устройства ChromeBook запрограммированы на устаревание: в ChromeOS есть универсальная лазейка, которую применяют для обновлений и которая прекращает работу в заранее определенный срок. После этого компьютер лишается какой бы то ни было поддержки.
Другими словами, когда тебя прекращают доставать через лазейку, тебя начинают доставать устарением.
-
2019-02
Функция FordPass Connect некоторых автомобилей Ford имеет почти полный доступ к внутренней сети автомобиля. Она постоянно соединяется с сотовой телефонной сетью и высылает компании Ford массу данных, в том числе местоположение автомобиля. Эта функция действует, даже когда вынимается ключ зажигания, и пользователи сообщают, что они не могут выключить ее.
Если вы владеете одним из этих автомобилей, удалось ли вам разорвать соединение, отключив сотовый модем или обернув антенну в фольгу?
-
2018-12
Новые автомобили GM предлагают функцию универсального черного хода.
Любая несвободная программа предлагает нулевую защиту от своего разработчика. С помощью этой вредоносной функции GM явным образом еще ухудшило ситуацию.
-
2017-11
В Furby Connect есть универсальный черный ход. Если продукт в том виде, в каком он поставляется, не действует как подслушивающее устройство, то изменение программы по сети наверняка может превратить его в такое устройство.
-
2017-11
Sony снова выпустила свою собачку-робота Aibo, на этот раз с универсальным черным ходом, и привязала к серверу, который требует подписки.
-
2017-09
Компания Tesla с помощью программ ограничивала емкость аккумуляторов, которую могли использовать клиенты в некоторых моделях, и универсальный черный ход в программах для того, чтобы временно увеличивать этот предел.
Ограничение, которое вводилось по сети на емкость аккумуляторов, которую “владельцы” машин могли задействовать, не причинило им никакого вреда, но та же лазейка позволила бы компании (возможно, по приказу какого-то государства) по сети запретить машине задействовать аккумуляторы вообще. Или, скажем, довезти пассажира до камеры пыток.
- 2017-02
-
2016-09
Телефоны Xiaomi поставляются с универсальным черным ходом для пользования Xiaomi в процессоре для приложений.
Это дополнительно к универсальной лазейке в процессоре модема, которой может воспользоваться местная телефонная компания.
-
2016-08
В Microsoft Windows есть универсальный черный ход, по которому пользователям можно навязывать какие угодно изменения.
Об этом сообщили в 2007 году в отношении XP и Vista, и кажется, Microsoft применила тот же метод для проталкивания ухудшения до Windows 10 на компьютерах под Windows 7 и 8.
В Windows 10 универсальный черный ход больше не скрывают; все “обновления” будут принудительно и немедленно навязываться.
-
2016-06
Оказывается, что в Amazon Echo есть универсальная лазейка, поскольку “обновления” там устанавливаются автоматически.
Мы не нашли ничего, что явным образом документировало бы отсутствие способа отключить удаленные изменения в программе, так что мы не полностью уверены, что такого способа нет, но это, кажется, довольно-таки ясно.
-
2014-12
В китайской версии Android есть универсальный черный ход. Почти во всех моделях мобильных телефонов есть универсальный черный ход в модеме. Для чего же компании Coolpad понадобилось вводить еще один? Потому что этот черный ход контролируется компанией Coolpad.
-
2013-11
Некоторые приложения поставляются с MyFreeProxy, который является универсальным черным ходом, по которому можно устанавливать программы и запускать их.
-
2012-07
В дополнение к уничтожителю книг, в Kindle есть универсальный черный ход.
-
2006-12
В коммуникационном процессоре почти любого телефона есть универсальный черный ход, который часто применяется, чтобы заставить телефон передавать все разговоры, которые он слышит. Другие сведения см. на странице Вредоносные программы в мобильных устройствах.
Прочие и неопределенные
-
2023-12
Черный ход в устройствах Apple, который присутствовал и которым злоупотребляли по меньшей мере с 2019 до 2023 года, позволял взломщикам получить полный контроль над устройствами с помощью текстов iMessage, которые устанавливали вредоносные программы безо всяких действий со стороны пользователя. Эти программы, кроме прочего, предоставляли злоумышленникам доступ к микрофонным записям владельцев, их фотографиям, местоположению и другим персональным данным.
-
2017-11
В преднамеренном черном ходе в “машине управления” Intel есть также непреднамеренный черный ход.
-
2016-09
Обновление игры Street Fighter V компании Capcom устанавливало драйвер, который можно было бы применять в качестве черного хода в любом приложении, установленном на компьютере с Windows, но было немедленно взято назад в ответ на возмущение общественности.
-
2015-11
У компьютеров Dell, поставлявшихся с Windows, был несуразный корневой сертификат, позволявший кому угодно (не только Dell) санкционировать на расстоянии выполнение любых программ на компьютере.
-
2015-11
У кабельного модема ARRIS есть черный ход в черном ходе.
-
2015-10
“Самошифрующиеся” жесткие диски шифруют с помощью несвободных внутренних программ, так что вы не можете им доверять. У дисков “My Passport” компании Western Digital есть черный ход.
-
2015-04
В Mac OS X в течение 4 лет преднамеренно сохранялся черный ход, которым взломщики могли воспользоваться, чтобы получить права администратора.
-
2013-09
ФБР просит множество компаний встраивать черные ходы в несвободные программы. Мы не знаем, когда конкретно это делали, но такое возможно в каждой несвободной программе для шифрования.
-
2013-08
Правительство Германии уходит от компьютеров с TPM 2.0, управляемых Windows 8 оригинальная статья на немецком) из-за функции потенциального черного хода, заложенной в микросхеме TPM 2.0.
-
2013-07
Вот подозрение, которое мы не можем доказать, однако над этим стоит подумать: Микропрограммы для микропроцессоров Intel и AMD могут служить АНБ механизмом внедрения в компьютеры с помощью Microsoft, как утверждают признанные эксперты по безопасности.
-
2013-07
В “приложениях для хранения данных” Hewlett-Packard, в которых применяется несвободная операционная система “Left Hand”, есть черные ходы, которые дают компании учетную запись для доступа по сети. Компания утверждает, что это не дает ей доступа к данным клиента, но раз черный ход позволяет изменять установленные программы, то их можно изменить так, чтобы программы предоставляли доступ к данным клиента.
У Фонда электронных рубежей есть другие примеры применения лазеек.