Hacker News Digest

В Android обнаружен скрытый флаг KEY_INFLATE_SIGNAL_STRENGTH_BOOL, позволяющий операторам связи показывать пользователям силу сигнала на одну "полоску" выше, чем она есть в реальности. Этот механизм не задокументирован в официальной документации, но доступен в исходном коде для использования операторами. Как минимум AT&T и Verizon уже включили этот флаг на своих сетях, что позволяет им искусственно улучшать показатели покрытия без реальных улучшений инфраструктуры.

Такие манипуляции вместе с поддельными флагами 5G не способствуют построению доверия между операторами и пользователями. Автор отмечает, что современные мобильные антенны делают эти обманы ненужными, а подобные практики лишь создают ложное впечатление качества связи. Один из комментариев иронично предлагает ввести ф KEY_FIXED_NETWORK_SIGNAL_STRENGTH_INT для всегда максимального показателя сигнала, независимо от реального качества связи.

• Пользователи обсуждают, что индикаторы силы сигнала на телефонах не отражают реальную сеть и могут быть обманчивыми, особенно в слабых зонах покрытия.
• Один участник упомянул, что его телефон показывает 5G, но на самом деле он использует 4G, и что это может быть связано с тем, что операторы хотят показать, что они предоставляют 5G, даже если это не так.
• Другой участник поделился, что в некоторых местах, где он живет, у него есть сигнал, но он не может использовать интернет, и что это может быть связано с тем, что операторы не хотят инвестировать в инфраструктуру, но хотят показать, что они предоставляют хороший сигнал.
• Участники также обсуждают, что иногда телефоны показывают, что у них есть сигнал, но на самом деле они не могут использовать интернет, и что это может быть связано с тем, что операторы не хотят инвестировать в инфраструктуру, но хотят показать, что они предоставляют хороший сигнал.
• Некоторые участники также упомянули, что в некоторых местах, где они живут, у них есть сигнал, но они не могут использовать интернет, и что это может быть связано с тем, что операторы не хотят инвестировать в инфраструктуру, но хотят показать, что они предоставляют хороший сигнал.

• Апелляционный суд 2-го округа оставил в силе штраф FCC в $46,9 млн против Verizon за продажу геоданных без согласия абонентов.
• Verizon, T-Mobile и AT&T оспаривали санкции в разных срубах: Verizon и T-Mobile проиграли, AT&T выиграл в 5-м округе; появился судебный раскол, дело может уйти в Верховный суд.
• Суд отверг доводы Verizon, что данные о местоположении не подпадают под закон о конфиденциальной информации клиента (CPNI) и что штраф нарушает право на суд присяжных.

• Verizon оспаривал штраф не из-за денег (40 млн — копейки против 9 млрд дохода за квартал), а чтобы протестировать, можно ли нарушать закон без последствий.
• Суд признал продажу геоданных без согласия незаконной, но штраф всё равно воспринимается как «цена вопроса»: компании уже заработали на сделке больше.
• Участники сходятся: пока сумма штрафа ≤ прибыли и никто не сядет, нарушения будут повторяться; требуют процент от выручки и уголовную ответственность.
• Опасения, что операторы просто спрячут согласие в 50-страничный договор или превратят отказ в дорогой тариф.
• Решение касается только голосовой «телеком-услуги», не распространяется на мобильные приложения, ОС и банки-продавцы транзакций.

• Китайская группа Salt Typhoon взломала почти всех американцев, заявил заместитель директора ФБР по киберпреступлениям Брайан Ворондран.
• Хакеры продержались в сетях операторов связи США до 9 месяцев, перехватывая звонки, SMS и данные.
• Взлом затронул миллионы абонентов Verizon, AT&T, T-Mobile и Lumen, включая правительственные линии.
• Потери трудно оценить: злоумышленники могли читать SMS-коды, перенаправлять звонки и собирать метаданные.
• Секретные данные могли быть скомпрометированы, но точный масштаб расследуют.
• Китай отрицает причастность, называя обвинения «политически мотивированными».

• Атака Salt Typhoon стала возможной благодаря обязательным «законным» закладкам (CALEA) в телеком-оборудовании, которые теперь использует Китай для массовой слежки.
• Участники напоминают, что ещё NSA перехватывала трафик Google (Room 641A), поэтому удивляться «нарушению норм» странно.
• Инцидент всё ещё активен: данные продолжают утекать, а «пост-мортум» ещё не начался.
• Критика властей США: вместо защиты они продолжают расширять слежку и сокращают CISA.
• Вывод: любые обязательные backdoors делают уязвимыми не только «плохих парней», но и всех остальных.

• Апелляционный суд США подтвердил штраф $92 млн для T-Mobile за продажу данных о местоположении абонентов без согласия.
• FCC оштрафовала T-Mobile, AT&T и Verizon за передачу реального местоположения посредникам LocationSmart и Zumigo; злоупотребления стали известны в 2018 г.
• Суд: каждый смартфон — трекер, данные раскрывают «интимные детали жизни»; операторы не проверяли согласие и не ввели защиту после инцидентов.
• T-Mobile и Sprint не отрицали фактов, но заявляли, что FCC превысила полномочия; суд признал штрафы законными.
• Решения по апелляциям AT&T и Verizon ещё не вынесены.

• Пользователи в шоке: даже после отключения всех доступных опций в личном кабинете T-Mobile/ATT/Verizon данные о местоположении всё равно утекают и спам-связанные звонки «догоняют» человека по дороге.
• Оказалось, что в настройках T-Mobile появились новые пункты «профилирование и автоматические решения», которые снова включены по умолчанию; приходится отключать дважды.
• MVNO (Google Fi, Mint и др.) не дают прямого доступа к настройкам T-Mobile, поэтому полностью отказаться от трекинга нельзя.
• Единственные практические советы: включать «режим полёта + Wi-Fi», использовать «фарадеевы» чехлы или возвращаться к крупным операторам ради встроенных фильтров спама.
• Участники считают, что рынок США по сути является естественной монополией: спектр регулируется FCC, а мелкие игроки не могут конкурировать; проблему можно решить только через государственное регулирование и разделение инфраструктуры от сервиса.