AndyU

Одно "но", я сейчас посмотрел в backup'ах прошивок пары моих роутеров, бывшего EAEU и EU от рождения. И там и там второй стороной соглашения является Keenetic Limited (Тайвань). А кто там роутеры насильно обновлял? Netcraze и Keenetic GMBH? А так можно было? И сколько раз я не обновлял прошивки, ни разу меня не просили переподписать EULA. Privacy Notes - Keenetic GMBH. Что на последних прошивках EAEU - понятия не имею.

Ну, я успел "перетащить" все мои роутеры с регионом EAEU в регион EU еще когда облако было объединённым и в Германии. Сейчас для единственного роутера из этой кучки в online, годовая история трафика начинается с марта. Что произошло с предыдущей реинкарнацией, не знаю. Надеюсь, немецкая компания не отдала старые данные в РФ. Да или нет, не знаю. Только по аналогии с EAEU других пользователей. Вот с какого момента у них видна история трафика? Если с начала года, значит, Германия отдала их данные в РФ. Если с весны-лета, значит - нет. Роутеры были зарегистрировалы в РФ облаке, как новые.

Чтобы добавить в приложение удаленный (remote) роутер, вы должны ввести в приложениие его CID и пароль администратора. Что-то я совсем не уверен, что он в облако не уплывает.

Тут отсутствует один раздел на flash-диске, где лежит регион, CID, серийник, URL сервера с обновлениями и пр. Ну и загрузчик.

...то роутер уже сам давным давно лазает в интернет за всякими вредоносными payload и по расписанию начинает делать гадости. И единственный способ бороться - искать провайдеров, и сообщать им про потенциальные проблемы с Keenetic'ами. А уж дальше пусть они сами со своими клиентами разбираются. Хотя они и так должны такое отлавливать по нетипичной активности роутеров.

Кстати про SSH. А не планируется научить роутер пользоваться сертификатами и отключать вход по паролю, а admin'у вообще? Ну еще sudo хочется, если нет.

Я, кстати, беглым поиском в указанной вами теми, того, что еще нужно, не нашел. Или плохо искал, или потерли, как в документации. В прошивке (*.bin) тоже ничего не вижу. Но можно попробовать есть по кускам. Есть еще способ, опубликованный на github'е, но мне что-то стремно на рабочей железке экспериментировать. Или можно просто на траффик посмотреть штатными средствами роутера.

Однако ведь телеметрия уходит в облако независимо от обсуждаемой настройки?

Да. роутеры с регионом EAEU используют облако ea.master.keenetic.cloud, старые, еще с регионом RU - ru.master.keenetic.cloud, европейсие eu.master.keenetic.cloud, турецкие - tr.master.keenetic.cloud. Раньше IP был один и тот же, С весны IP для EAEU и RU поменялся.

Технически можно. И даже не теоретически, а практически. А вот этически... Один раз использовали по просьбе клиента, но и то я напрягся, а вот второй - уже без просьбы/согласия, и в большом ряде случаев, во вред. Я бы предпочел, чтобы технической возможности не было. Только перепаяв ПЗУ, например. P.S. И конечно, использовать в бизнес-целях домашний роутер, это не дело, но понимаешь это, только поработав в большой корпорации.

Скорее, чтение региона осуществляется один раз при загрузке для выбора разных настроек. А уж откуда и как это "защищено", так тут меня удивили в личных сообщениях до состояния полного изумления. Т.е. перезагрузка нужна после. И что такое "своя таблица маршрутизации", поясните, пожалуйста. А так, да, роутер посылет CID в облако, там проверяется, что ему нужно поменять регион, и обратно в ответе отправляется спец.команда. Я так пару роутеров с полки достал, включил после основного, сам перезагрузил и все, регион поменялся. Ну как, спец? Выход в консоль с правами root с помошью недокументированоой CLI команды и вперед.

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено: Т.е. вероятность этого 100% Куда больше?

Ну и какой же вариант, ваш или мой проще?

На самом деле спор идет, есть один backdoor или два?

Я лично под этот паровоз не попадал, но и тут недавно кто-то про это упоминал, и на 4pda я это видел: https://4pda.to/forum/index.php?showtopic=1048524&st=1240#entry140342280

Доказательством, какая версия верна, будет только реассемблированная прошивка. Но нафига козе баян, когда уже есть вендорский backdoor общего назначения?

Спасибо, Т.е. тут выключено? Тогда придется проверять, что эта настройка выключает. Как бы только не доступ из мобильного приложения, а не все общение с облаком. Но на это время надо и пару роутеров в цепочку. Не зря же в новом лиц.соглашении требуется согласие на обработку перс.данных. Где бы время взять.

Пардон, я вас не понял. Но результат то один и тот же - задержка. И кстати, значит роутер на сервер обновлений еще сообщает, что хочет обновиться в ручном режиме или авто.

Оттуда про задержки при автообновлениях:

https://help.keenetic.com/hc/en-us/articles/360000922779-KeeneticOS-automatic-updates

Вроде бы, это включено по умолчанию. Я не думаю, что многие отключали, и я не видел сообщений с матюгами при отключенном облачном доступе.

Ссылку на сообщение от "пострадавшего", где бы это было прямо написано, приведете?

Да не так все работает. Напрочь. Это любому программисту очевидно: Роутер периодически лезет на сервер (раз в сутки?), где лежат прошивки, передавая свою модель и текущую версию прошивки. И ждет ответ, есть свежая или нет. Если на сервере есть свежая, то он сообщит версию, роутер запомнит и будет ее показывать в WEB-интерфейсе. Точка. Если роутер "знает", что есть свежая прошивка, то после нажатия на кнопку "Обновить" (или автообновление сработает), то роутер пошлет на сервер другой запрос (если там REST API, то другую endpoint) на скачивание прошивки и сервер ее пришлет. Точка. Два независимых асинхронных процесса. И нет кнопки/режима - "проверить наличие обновления и, если есть, сразу обновить". Косвенное доказательство - прошивка 4.3.6.3 появилась как бы еще не в октябре - я ее поставил на одном из роутеров в начале ноября. А эпидемия автообновлений началась сильно позже. Как? Возможно, что при связи мобильного приложения с роутером нет сквозного шифрования, Т.е. облако может сэмулировать команду удаленного пользователя на обновление. Не зря же автообновлялись, как я понял, лишь те роутеры, которые имели связь с облаком. То, что роутер сливает статистику в облако, очевидно - в мобильном приложении есть трафик за год, а в web-консоли - нет такого. Ну и, как сливает, так теоретически и может оттуда управляться.

Уважаемый Spatiumstas, а можете, свое мнение обосновать? Можно частным образом.

Только вот я не понимаю, на каком законном основании вы их аккаунты перенесли из Германии в РФ? Но за это нарушение GDPR надо GMBH наказывать. По идее, надо было выяснять, что каждый владелец роутера не резидент Европейской страны. Аж только потом менять IP облака.