Un bărbat din SUA și-a pierdut toate datele de pe telefon după ce Verizon i-a trimis un dispozitiv refurbished cu un software de management corporativ activ pe el. Cazul, documentat de Ars Technica, ridică întrebări serioase despre cum pregătesc marii operatori telefoanele second-hand înainte să le vândă sau să le trimită clienților.

Totul a început când clientul, Tom Collery, a primit de la Verizon un telefon refurbished ca înlocuitor. Aparent, dispozitivul nu fusese curățat corespunzător înainte de a fi redistribuit: pe el rula în continuare un software de tip MDM - Mobile Device Management. Fără nicio avertizare prealabilă, sistemul MDM rămas activ a executat o comandă de ștergere remotă, eliminând toate datele de pe telefon. Fotografii, contacte, aplicații, setări - totul, dispărut.

MDM este un tip de software folosit în mediul corporativ pentru a gestiona de la distanță dispozitivele angajaților. Prin MDM, o companie poate instala aplicații, bloca funcții, monitoriza utilizarea și, cel mai relevant în acest caz, șterge complet un dispozitiv de la distanță - un «remote wipe». Este o unealtă legitimă și utilă în contextul unei firme: dacă un angajat pierde telefonul de serviciu, IT-ul poate șterge datele sensibile înainte ca acestea să ajungă pe mâini greșite. Problema apare atunci când un astfel de software rămâne activ pe un dispozitiv care ajunge la un client obișnuit, fără nicio legătură cu corporația care l-a instalat inițial.

Cazul scoate la iveală o vulnerabilitate în lanțul de distribuție al telefoanelor refurbished. Conform Ars Technica, telefonul în cauză - un Samsung Galaxy Z Flip7 - era de fapt un dispozitiv de demonstrație dintr-un magazin Verizon, nu un telefon provenit dintr-un stoc corporativ. Procesul de «recertificare» ar fi trebuit să includă o ștergere completă a software-ului anterior și o reinstalare curată a sistemului de operare. În acest caz, fie pasul nu a fost efectuat, fie a fost executat incomplet, lăsând profilele MDM intacte în sistem. Incidentul pune sub semnul întrebării procesele interne ale Verizon pentru pregătirea telefoanelor refurbished.

Cazul nu este izolat în peisajul mai larg al securității dispozitivelor second-hand. Există un risc real, mai ales cu telefoanele de proveniență corporativă sau din stocurile de demonstrație, ca software-ul de control să rămână latent până în momentul în care vechea companie decide să execute o comandă - fie din greșeală, fie ca parte a unui proces automat de curățare a stocurilor expirate.

Dacă ai cumpărat sau urmează să cumperi un telefon refurbished, există câteva lucruri pe care le poți verifica. Pe Android, poți inspecta secțiunea «Device Admin Apps» din setările de securitate pentru a vedea dacă există aplicații cu drepturi administrative active. Pe iPhone, în «Settings > General > VPN & Device Management» poți vedea dacă există profiluri de configurare instalate. Dacă găsești ceva acolo și nu știi de unde provine, cel mai sigur pas este un factory reset complet înainte de a-ți pune datele personale pe dispozitiv.

Verizon a recunoscut eroarea într-o scrisoare oficială trimisă către FCC pe 2 aprilie, confirmând că dispozitivul era un telefon demo cu MDM activ care nu fusese dezactivat corespunzător înainte de a ajunge la client. Rămâne de văzut dacă operatorul va revizui procesul intern de pregătire a dispozitivelor refurbished sau dacă acest caz va rămâne o excepție nefericită. Ceea ce este clar este că utilizatorii nu ar trebui să presupună că un telefon «recertificat» înseamnă automat un telefon curat din punct de vedere software. Uneori, urmele digitale ale utilizatorului anterior - sau ale companiei sale - sunt mai persistente decât am crede.