Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября, 2025 пользователем F2QYQ

[Илья Хрупалов]

4 минуты назад, KeyYerS сказал:

Подняв тикет в ТП, я добился исключения выгрузки этих данных в селф-тест.

Ну, тогда вам не составит труда дать мне номер этого тикета.

4 минуты назад, KeyYerS сказал:

Вы его адвокат

Я адвокат здравого смысла в этом форуме (нравится или нет -- уж извините). Заметьте, я не удаляю всё подряд "неугодное", тут уже многие гневные просты прошли. Так что рекомендую задуматься.

[Илья Хрупалов]

8 минут назад, KeyYerS сказал:

220200779

Из переписки не следует, что вы этого добились. Но если даже это так -- очень рад, что в конструктивном диалоге вы помогли сделать наши продукты лучше. Я уточню позже у поддержки детали. Однако к теме это всё не имеет отношения.

[Razoon]

10 минут назад, Илья Хрупалов сказал:

Я адвокат здравого смысла

Тут понимаете какое дело, в нашем государстве гайки заворачиваются все сильнее (в первую очередь относительно сервисов на три буквы) и вы Netcraze, как отечественная компания обязаны подчиняться законодательству этой страны. И вот пользователям озабоченным собственной безопасностью, очень не хотелось бы иметь устройство которое "стучит" кому надо обо всем что в нем происходит (а с подобными бекдорами это вполне возможно если не сейчас, то позже). Так вот к чему это я, выше вы писали о паранойе, бреднях и использовании соцсетей и клаудов, так вот, за использование соцсетей и клаудов не предусмотрена (и скорее всего никогда не будет предусмотрена) никакая ответственность, а вот за сервисы на три буквы вполне может быть предусмотрена уже в ближайшем будущем и вполне вероятно уголовная. Так что переживания присутствующих тут людей могут быть вполне оправданы.

[Razoon]

Если бы вы "на берегу" оговаривали наличие подобных возможностей серверного управления клиентскими устройствами (хотя бы в лицензионном соглашении, как это например делает cisco systems), то никаких вопросов к вам бы не было и подобного шитшторма удалось бы легко избежать просто указывая на пункт лицензионного соглашения, но вы не сделали этого и теперь пытаетесь сделать хорошую мину при плохой игре. 

[Илья Хрупалов]

Только что, Razoon сказал:

а с подобными бекдорами это вполне возможно если не сейчас, то позже

К сожалению, ваш пост априори не подразумевает никакого оправдания с моей или производителя стороны. Хоть мы "мамой поклянемся". Но представьте себя на нашем месте. Вы стали бы стрелять себе во все конечности, зная про уровень доверия пользователей к нашей КВН-функциональности и вообще ее популярности?

[Илья Хрупалов]

4 минуты назад, Razoon сказал:

пытаетесь сделать хорошую мину

Нет никакой хорошей мины. Мы приносили извинения. Но вы просто не хотите ничего видеть, очень печально, со всех сторон. Лицензионные и прочие соглашения при необходимости сохранить эту практику будут доработаны.

[Razoon]

7 минут назад, Илья Хрупалов сказал:

К сожалению, ваш пост априори не подразумевает никакого оправдания с моей или производителя стороны.

Я и не призываю вас к оправданиям и прочим непотребствам, я просто выразил свое частное мнение по этому поводу.

7 минут назад, Илья Хрупалов сказал:

Вы стали бы стрелять себе во все конечности

Я бы разумеется не стал, но я физическое лицо, а вы юридическое) И собственно то, что и как вы сделали никак иначе, чем стрельбой по собственным конечностям пока я назвать не могу, уж извините)

Изменено 19 ноября, 2025 пользователем Razoon

[Илья Хрупалов]

1 минуту назад, Razoon сказал:

по собственным конечностям

Не по всем. Мы же говорим о будущем и сохранении жизнеспособности.

[Razoon]

5 минут назад, Илья Хрупалов сказал:

Не по всем

Мне сейчас очень хочется сказать что с такие рассуждения недалеки от мысли что цель оправдывает средства, но пожалуй я не буду приводить столь печальные ассоциации.

Просто напомню, стрельба по собственным конечностям (хоть по всем, хоть не по всем) особенно при условии того что ситуация этого совершенно не требовала  - решительно нездоровая практика, не находите?

Изменено 19 ноября, 2025 пользователем Razoon

[Илья Хрупалов]

2 минуты назад, Razoon сказал:

пожалуй я не буду приводить

Вся эта полемика уже малосмысленна. Целесообразность и соотношение рисков уже обсудили ранее, я не буду повторяться.

[Razoon]

Я немного поясню свою позицию.

Для меня нет абсолютно никакой трагичности в том что вытворил вендор (я как старожил кровавого энтерпрайза и не такое видал), но хочется обычных человеческих объяснений будет ли такое повторяться в будущем, ибо от этого будет зависеть буду ли я отказываться отказываться от данного вендора ну и прочие прелести. Подозреваю что флеймящих тут людей беспокоят примерно такие же мысли.

[Razoon]

2 минуты назад, Илья Хрупалов сказал:

Вся эта полемика уже малосмысленна. Целесообразность и соотношение рисков уже обсудили ранее, я не буду повторяться.

Принято, это тоже вполне себе позиция.

[Илья Хрупалов]

6 минут назад, Razoon сказал:

но хочется обычных человеческих объяснений будет ли такое повторяться в будущем

Я уже несколько раз про это написал, ей-богу.

[Razoon]

5 минут назад, Илья Хрупалов сказал:

Я уже несколько раз про это написал, ей-богу.

Да что ж вы так все буквально воспринимаете, я прочел все что вы до этого написали. Я просто озвучил мысли которые, так сказать, in the air)

[Илья Хрупалов]

В 14.11.2025 в 20:22, F2QYQ сказал:

2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Кстати, если еще не поздно и это как-то поможет, вы можете перевести свои кинетики на 4.3.6.3 вручную, тогда принудительный автоматический алгоритм вас не затронет.

[Razoon]

50 минут назад, Илья Хрупалов сказал:

Кстати, если еще не поздно и это как-то поможет, вы можете перевести свои кинетики на 4.3.6.3 вручную, тогда принудительный автоматический алгоритм вас не затронет.

Кстати, что-то я не увидел выше подобных вопросов, поэтому уточню, а что мне помешает сделать даунгрейд прошивки и залочить роутеру возможность ходить на серверы обновлений? Или вы залочили и даунгрейд?

Изменено 20 ноября, 2025 пользователем Razoon

[mva113]

Вот второй день пошёл этой ситуации, все задают конкретный вопрос как это отключить (способ есть правда топорный и кажется совсем не надёжный) и нет ли других скрытых функций удалённого использования Наших устройств компанией производителем. И нам второй день отвечают на что угодно только не на это. Извинения от Ильи это хорошо конечно но Мне кажется что Он вообще к этому отношения не имеет Он и ещё два человека в ТГ отдуваются за всю компанию при этом как кажется по собственной инициативе и спасибо Им за это! (Когда и как будет отключена эта возможность, есть ли другие скрытые функции всё больше ни чего не интересуют.) То что достаточно много людей получило проблемы с пустого места это все поймут и забудут, а вот то что функционал пытаются заболтать вряд-ли. Через cli что было бы логично что бы Ваши не наглядные домохозяйки не пострадали или в интерфейсе сделаете критические обновления / обновления это не важно. Скажите по пунктам сделаем не сделаем, как если да и то что ни чего другого сделать удалённо компания не может. Утром бы статью на сайте сделали бы и вопрос закрыт был бы, так нет пошли путём повозмущаются и перестанут. Не хорошо это.

[Илья Хрупалов]

1 час назад, Razoon сказал:

Или вы залочили и даунгрейд?

Насколько мне известно -- не лочили. Бэкапьте прошивку и используйте. Только не забудьте все-таки пароль выставить непростой, если будете открывать наружу.

[Илья Хрупалов]

1 час назад, mva113 сказал:

Через cli что было бы логично что бы Ваши не наглядные домохозяйки не пострадали

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

1 час назад, mva113 сказал:

и нет ли других скрытых функций удалённого использования Наших устройств компанией производителем

Ну, если бы они были, я бы, скорее всего, вышел из кругов этого производителя (вместе с многими другими уважаемыми сотрудниками). Жаль, что вся предыдущая работа компании почему-то не доказывает, что здесь такое не норма и придерживаются других принципов.

[mva113]

4 минуты назад, Илья Хрупалов сказал:

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

Ну, если бы они были, я бы, скорее всего, вышел из кругов этого производителя (вместе с многими другими уважаемыми сотрудниками). Жаль, что вся предыдущая работа компании почему-то не доказывает, что здесь такое не норма и придерживаются других принципов.

Доказывает ("...Ни кто не вспомнит о заслугах, после небольшой не удачи"), но вызвало не понимания почему не дали внятного разъяснения, что продукт оказался под угрозой и что бы избежать дальнейшего распространения на большую часть устройств было принято не простое решение задействовать экстренный механизм. Ни каких других скрытых возможностей Он не несёт кроме как дать команду на обновление. Понимаем что из за сложной ситуации доставили не удобства некоторым пользователям. В дальнейшем продумаем функционал этого. (Так как говорить о бизнес продуктах с такой функцией не приходится ни кто сознательно не согласится. Только гос заказ или знакомые, где первые будут крайне не довольны если такое не дай Бог произойдёт). Так что надо было просто разъяснить. По факту это закрыло возможность для не сознательных пользователей игнорировать свою же безопасность. Устройства которые пострадали они уже пострадали ведь этот патч слава богу не сбросил все устройства до заводских. Фиг знает как это сделать, но это точно нужно, не хорошие люди всё равно всегда найдут возможность, так как слабое звено это пользователь, а люди которые на этой системе офисы строят они осознают риски и по этому обновляют руками. 

[cool]

Тут пишут про откат на старые версии прошивок, в том числе и 3-их версий, типа там насильно не обновляли. А кто-нибудь гарантирует, что в них отсутствует этот самый vendor backdoor ? Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

[VVS]

48 минут назад, cool сказал:

Тут пишут про откат на старые версии прошивок, в том числе и 3-их версий, типа там насильно не обновляли. А кто-нибудь гарантирует, что в них отсутствует этот самый vendor backdoor ? Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

А кто-нибудь гарантирует, что у других производителей любого "компьютерного" оборудования нет подобного?

IMHO при таком подходе Вам логичнее всего пользоваться голубиной почтой.

[bigpu]

5 минут назад, VVS сказал:

при таком подходе

никогда не понимал подобный инфантильный подход.

"Нужно равняться на лучших, а не оправдываться за счёт худших"

[cool]

6 минут назад, VVS сказал:

IMHO при таком подходе Вам логичнее всего пользоваться голубиной почтой.

Я сам решу чем пользоваться, без советов.

[VVS]

28 минут назад, bigpu сказал:

никогда не понимал подобный инфантильный подход.

"Нужно равняться на лучших, а не оправдываться за счёт худших"

А лучшие есть?

Вы можете назвать производителя оборудования, для которого Вы могли бы априори гарантировать, что у них подобного нет?

Так на кого ориентироваться?

[VVS]

26 минут назад, cool сказал:

Я сам решу чем пользоваться, без советов.

А я Вам ничего и не советовал, я высказал своё мнение.

Если Вы этого не поняли, то это не моя проблема.

[keenet07]

6 часов назад, Илья Хрупалов сказал:

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

Если проблема только в том, чтоб удаленный пользователь не смог отключить экстренное обновление, то наверное можно подумать над способом решения этой проблемы. Например, придумать алгоритм валидации такой настройки. Другими словами, предусмотреть возможность правильного сохранения этой настройки в конфиг только при условии зажатия какой-нибудь физической кнопки на устройстве в момент сохранения. Нет зажатия, настройка сохраняется не корректно и не работает. А там уже продумать алгоритм защиты этой настройки, таким образом, чтоб её нельзя было просто изменить заливкой модифицированного конфиг файла в том числе с корректным значением с другого устройства. Т.е. использовать какую-то криптозащиту (не для всего конфига, а только для самой настройки). По этому же принципу можно защитить и другие потенциально опасные настройки.

Можно конечно для этого же использовать и уникальный пин-код который бы присутствовал на наклейке на обратной стороне роутера. Но это вариант чуть замороченнее. 

Изменено 20 ноября, 2025 пользователем keenet07

[cool]

7 минут назад, VVS сказал:

Если Вы этого не поняли

Я Вас понял прекрасно. Вы просто наверно боитесь даже самому себе признаться в вероятном наличии бекдора вне зависимости от версии прошивки. Даже не допускаете такой возможности. А судя по произошедшему, вероятность очень приличная.

[VVS]

6 минут назад, cool сказал:

Я Вас понял прекрасно. Вы просто наверно боитесь даже самому себе признаться в вероятном наличии бекдора вне зависимости от версии прошивки.

Не, ну всё-таки постарайтесь читать внимательно то, на что Вы отвечаете.

Я, наоборот, допускаю такую вероятность в прошивке от абсолютно любого производителя.

[Razoon]

6 часов назад, Илья Хрупалов сказал:

Насколько мне известно -- не лочили. Бэкапьте прошивку и используйте. Только не забудьте все-таки пароль выставить непростой, если будете открывать наружу.

У меня с этим никогда проблем не было, мои роутеры открывались наружу ещё когда они были zyxel, и ни разу никто ничего не ломал.