Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[KeyYerS]

12 минут назад, keenet07 сказал:

Ну дождитесь вы выхода следующей прошивки.

Зачем ждать выхода "следующей", если пометку "критическое" можно снять на текущей?  Меньше затрат...

[AndyU]

14 hours ago, keenet07 said:

Ого! А вы тогда вот здесь поясните, что хотели сказать. Что там не так.

Да не так все работает. Напрочь. Это любому программисту очевидно:

Роутер периодически лезет на сервер (раз в сутки?), где лежат прошивки, передавая свою модель и текущую версию прошивки. И ждет ответ, есть свежая или нет. Если на сервере есть свежая, то он сообщит версию, роутер запомнит и будет ее показывать в WEB-интерфейсе. Точка. 

Если роутер "знает", что есть свежая прошивка, то после нажатия на кнопку "Обновить" (или автообновление сработает), то роутер пошлет на сервер другой запрос (если там REST API, то другую endpoint) на скачивание прошивки и сервер ее пришлет. Точка.

Два независимых асинхронных процесса. И нет кнопки/режима - "проверить наличие обновления и, если есть, сразу обновить". 

Косвенное доказательство - прошивка 4.3.6.3 появилась как бы еще не в октябре - я ее поставил на одном из роутеров в начале ноября. А эпидемия автообновлений началась сильно позже. Как? Возможно, что при связи мобильного приложения с роутером нет сквозного шифрования, Т.е. облако может сэмулировать команду удаленного пользователя на обновление. Не зря же автообновлялись, как я понял, лишь те роутеры, которые имели связь с облаком.

То, что роутер сливает статистику в облако, очевидно - в мобильном приложении есть трафик за год, а в web-консоли - нет такого. Ну и, как сливает, так теоретически и может оттуда управляться.

[keenet07]

1 минуту назад, KeyYerS сказал:

Зачем ждать выхода "следующей", если пометку "критическое" можно снять на текущей?  Меньше затрат...

Снять можно, но это не решает проблемы которая решается. А её нужно решить. Да, к сожалению при этом определенная группа пользователей попадает под удар.

У вас устройство три раза обновилось и вы возвращаете назад. Можно ведь уже и меры принять было, чтоб этого не происходило. 

[keenet07]

12 минут назад, AndyU сказал:

Да не так все работает. Напрочь. Это любому программисту очевидно:

Роутер периодически лезет на сервер (раз в сутки?), где лежат прошивки, передавая свою модель и текущую версию прошивки. И ждет ответ, есть свежая или нет. Если на сервере есть свежая, то он сообщит версию, роутер запомнит и будет ее показывать в WEB-интерфейсе. Точка. 

Если роутер "знает", что есть свежая прошивка, то после нажатия на кнопку "Обновить" (или автообновление сработает), то роутер пошлет на сервер другой запрос (если там REST API, то другую endpoint) на скачивание прошивки и сервер ее пришлет. Точка.

Два независимых асинхронных процесса. И нет кнопки/режима - "проверить наличие обновления и, если есть, сразу обновить". 

Косвенное доказательство - прошивка 4.3.6.3 появилась как бы еще не в октябре - я ее поставил на одном из роутеров в начале ноября. А эпидемия автообновлений началась сильно позже. Как? Возможно, что при связи мобильного приложения с роутером нет сквозного шифрования, Т.е. облако может сэмулировать команду удаленного пользователя на обновление. Не зря же автообновлялись, как я понял, лишь те роутеры, которые имели связь с облаком.

То, что роутер сливает статистику в облако, очевидно - в мобильном приложении есть трафик за год, а в web-консоли - нет такого. Ну и, как сливает, так теоретически и может оттуда управляться.

Возможно так работает механизм обновления в бОльшей часть ПО.

Но как тогда по вашей логике работает механизм включенного Автоматического обновления? Оно не происходит сразу же как появляется новая версия. А роутер уже видит её. Вы считаете что это роутер выжидает определенное время иногда недели до того как обновиться? Или всё-таки сторона сервера принимает решение обновлять устройство или нет. Да там есть ещё какие-то внутренние условия, что для автоматического обновления требуется uptime более 1 суток. Да что я вам пишу, я процитирую.

Цитата

NOTE: Важно! Автообновление на нашем сервере включается не сразу после выпуска релиза. Обычно проходит некоторое время (примерно 1-2 недели), и только убедившись в стабильности релиза, на нашем сервере включается механизм автообновления. Только после этого релиз станет доступен для автообновления устройствам, на которых включена данная возможность. Компания Keenetic самостоятельно принимает решение для какого релиза и когда будет включено автообновление.

https://help.keenetic.com/hc/ru/articles/360000922779-Автоматическое-обновление-операционной-системы

Ну почитайте где принимается решение.

Да и кто сказал что обновились только подключенные к облаку устройства?

[Denis P]

31 минуту назад, AndyU сказал:

Не зря же автообновлялись, как я понял, лишь те роутеры, которые имели связь с облаком.

Вы не правильно поняли и снова путаете мягкое с теплым.

[AndyU]

2 minutes ago, Denis P said:

Вы не правильно поняли

Ссылку на сообщение от "пострадавшего", где бы это было прямо написано, приведете?

[AndyU]

6 minutes ago, keenet07 said:

Да и кто сказал что обновились только подключенные к облаку устройства?

Вроде бы, это включено по умолчанию. Я не думаю, что многие отключали, и я не видел сообщений с матюгами при отключенном облачном доступе. 

[AndyU]

17 minutes ago, keenet07 said:

Вы считаете что это роутер выжидает определенное время иногда недели до того как обновиться?

https://help.keenetic.com/hc/en-us/articles/360000922779-KeeneticOS-automatic-updates

[keenet07]

1 минуту назад, AndyU сказал:

https://help.keenetic.com/hc/en-us/articles/360000922779-KeeneticOS-automatic-updates

Что? То же самое, только на английском.

[AndyU]

1 minute ago, keenet07 said:

Что? То же самое, только на английском.

Оттуда про задержки при автообновлениях:

Quote

NOTE: Important! Commonly, auto-update on our server is not started immediately after release. Usually, it takes some time (about 1-2 weeks), and only after making sure the release is stable, the auto-update mechanism is activated on our server. Only then will the release be available for auto-update to devices with this feature enabled. It is up to Keenetic to decide for which release auto-update will be allowed.

 

[keenet07]

10 минут назад, AndyU сказал:

Оттуда про задержки при автообновлениях

Я вам выше об этом написал. И что? 

Выйдет новая прошивка, устройство покажет что она вышла. Включаете режим автоматического обновления и что? Устройство перестанет видеть новую прошивку? Нет, просто будет ждать флага на разрешение обновления со стороны сервера. Когда разрешат, тогда обновится. Может через неделю, может через две, решать сотрудникам. Это справедливо именно для режима автообновления.

Объясните свою логику.

Изменено 28 ноября пользователем keenet07

[AndyU]

1 minute ago, keenet07 said:

Я вам выше об этом написал. И что? 

Пардон, я вас не понял. Но результат то один и тот же - задержка. И кстати, значит роутер на сервер обновлений еще сообщает, что хочет обновиться в ручном режиме или авто.

 

[svoron]

9 часов назад, Илья Хрупалов сказал:

Счетчик голосования получил за последнюю неделю не более 4 голосов.

Что за голосование? Где оно инициировано? 

[Mamay]

7 минут назад, svoron сказал:

Что за голосование? Где оно инициировано? 

С самом верху топа в шапке, с левой стороны напротив названия топа стрелка вверх. Это штатная для движка форума.

[_Roman_]

1 hour ago, AndyU said:

Вроде бы, это включено по умолчанию. Я не думаю, что многие отключали, и я не видел сообщений с матюгами при отключенном облачном доступе. 

Зарегался специально чтобы написать что такие есть, мне этот доступ не упал ни разу, пароль при этом 20+ символов. и без матюков только потому что обновление пришлось на пересменку между торговыми сессиями(я занимаюсь трейдингом). если бы это было во время торгов, возможно и с матюками выложил скрины возможных убытков. и да, гдето тут писали про время что оно сбрасывается при перезагрузке. так вот, гига обновилась со сбросом времени и последующей установкой на 15 апреля(как?), а хопер обновился без проблем и время не сбрасывалось, хотя лог вроде такой же.

[AL3]

а мы тут какой-то официальный ответ то получим, или можем и дальше квакать в своем болоте?

представители кинетика/некинетика? 

[keenet07]

1 час назад, AndyU сказал:

И кстати, значит роутер на сервер обновлений еще сообщает, что хочет обновиться в ручном режиме или авто.

В ручном сразу отдаст обновление если оно есть. А в автоматическом, либо отдаст, либо нет в зависимости от того как вендор решит, достаточно ли стабильная версия. И через недельку две, разрешат автоматическое обновление на устройствах.

В общем примерный алгоритм такой заложен в саму прошивку на роутере:

Роутер: Запрашивет на сервере наличие новой версии

Сервер: Отвечает информацией об обновлении и шлет управляющие флаги.

Роутер: если присутствует флаг force_update=true, то принять обновление и обновить прошивку;

иначе, если  на устройстве включен режим Автоматического обновления и есть флаги сервера обновление доступно и autoupdate разрешен, то обновить прошивку. 

иначе если была нажата кнопка ручного обновления (или дана команда в консоле) то если есть флаг обновление доступно, то обновить прошивку.

иначе сообщить что новых версий не обнаружено.

Как видно из этого, производитель в любой момент может обновить прошивку выставив определенный управляющий флаг. Никакой дополнительной команды из облака не требуется.

При ручном обновлении роутер уже знает что пользователь дал разрешение на обновление и проходит всё по тому же алгоритму.

Изменено 28 ноября пользователем keenet07

[frontcccp]

В 17.11.2025 в 17:54, Namenloss сказал:

"Не нравится, не держим, неблагодарные, мы тут про безопасность думаем, при включении мобильного приложения тащим к себе все в облако, а после спустя 2 года публикуем про бреши в системе, что еще надо? А тут обновили принудительно ради безопасности, и не довольны. И так не подходит и так не подходит, Вам что TOTP/2FA сделать? Так у нас устройства не умеют время "держать", зайти не сможете потом еще"....

""Это наша заправка"(с) и мы ее обновляем как нам захочется..."

Обновлять обновляйте, НО попутно было подсунуто соглашение о предоставлении персональных данных ! К чему бы это ?

[Mamay]

27 минут назад, AL3 сказал:

а мы тут какой-то официальный ответ то получим, или можем и дальше квакать в своем болоте?

представители кинетика/некинетика? 

@Илья Хрупалов- имеет непосредственное отношение к имярек.

[frontcccp]

10 часов назад, Илья Хрупалов сказал:

Всё объяснили, признали, извинились, пообещали уже многократно. Если не удалите свой начинающий опять лить из пустого в порожнее пост, это сделаю я. Вы прикидываетесь, или не понимаете (или есть какой-то другой истинный смысл), что от силы заданных вами паролей на старой прошивке ничего не зависит? Даже если не понимаете, перестаньте флудить, перечитайте тему или телеграм-группу. Отныне посты в духе "всё пропало" будут удаляться после небольшой паузы. Счетчик голосования получил за последнюю неделю не более 4 голосов.

Я тут новенький и тоже пострадал от вашего беспредела. Ткните носом, где все объяснили, извинились и исправили. На данный момент я не могу попасть в админку роутера, не поставив галку на соглашении о предоставлении персональных данных ! Я так понимаю, это и было все затеяно именно для этого. Впарить нам это соглашение насильно. Не на тех напали.

[gaaronk]

38 минут назад, keenet07 сказал:

Роутер: если присутствует флаг force_update=true, то принять обновление и обновить прошивку;

При этом компания что только не делает - поясняет, рассказывает, извиняется, аргументирует, но всеми доступными методами избегает предоставления информации о том, как на роутере сделать ignore_force_update

Может пора уже рассказать?

Потому что для тем кому это надо сейчас - это важно. А для компании на будущее это не критично - она ведь мотает на ус и клянется что никогда-никогда более этот флаг не выставит на своих серверах обновлений...

Или нам опять что то недоговаривают?!

Изменено 28 ноября пользователем gaaronk

[AndyU]

51 minutes ago, _Roman_ said:

Зарегался специально чтобы написать что такие есть

Спасибо, Т.е. тут выключено?

Тогда придется проверять, что эта настройка выключает. Как бы только не доступ из мобильного приложения, а не все общение с облаком. Но на это время надо и пару роутеров в цепочку. Не зря же в новом лиц.соглашении требуется согласие на обработку перс.данных. Где бы время взять.

[AndyU]

43 minutes ago, keenet07 said:

Как видно из этого, производитель в любой момент может обновить прошивку выставив определенный управляющий флаг. Никакой дополнительной команды из облака не требуется.

Доказательством, какая версия верна, будет только реассемблированная прошивка. Но нафига козе баян, когда уже есть вендорский backdoor общего назначения?

[_Roman_]

2 minutes ago, AndyU said:

Спасибо, Т.е. тут выключено?

Тогда придется проверять, что эта настройка выключает. Как бы только не доступ из мобильного приложения, а не все общение с облаком. Но на это время надо и пару роутеров в цепочку. Не зря же в новом лиц.соглашении требуется согласие на обработку перс.данных. Где бы время взять.

и тут выключено, и автообновление выключено и пароль 20+ символов. я хз о какой безопасности тут разговаривают, не проверяя эти условия. а что за соглашение? после обновы у меня никто ничего не требовал.

[keenet07]

7 минут назад, AndyU сказал:

Доказательством, какая версия верна, будет только реассемблированная прошивка. Но нафига козе баян, когда уже есть вендорский backdoor общего назначения?

Конечно, реассемблированная прошивка. ) По моему вам хоть на кванты вместе с железом всё разбери, вас это не убедит.

Не следует множить сущности сверх необходимости.

Другими словами из конкурирующих объяснений выбирай то, которое требует меньше допущений.

Применительно к нашей ситуации:

Force-update флаг на сервере - 1. Разработчики предусмотрели механизм для критических обновлений

Бэкдор - 1. Злой умысел 2. Скрытый функционал 3. Конспирация

Что же вероятнее?

Изменено 28 ноября пользователем keenet07

[AndyU]

3 minutes ago, _Roman_ said:

а что за соглашение? после обновы у меня никто ничего не требовал.

Я лично под этот паровоз не попадал, но и тут недавно кто-то про это упоминал, и на 4pda я это видел:

https://4pda.to/forum/index.php?showtopic=1048524&st=1240#entry140342280

[AndyU]

2 minutes ago, keenet07 said:

По моему вам хоть на кванты вместе с железом всё разбери, вас это не убедит.

На самом деле спор идет, есть один backdoor или два? 

[AndyU]

59 minutes ago, keenet07 said:

В общем примерный алгоритм такой заложен в саму прошивку на роутере:

Ну и какой же вариант, ваш или мой проще?

[keenet07]

Единственное в чем действительно можно упрекнуть вендора, так это только то что нигде в документации режим экстренного обновления не упоминался. А так, это стандартная практика.

[_Roman_]

24 minutes ago, keenet07 said:

Единственное в чем действительно можно упрекнуть вендора, так это только то что нигде в документации режим экстренного обновления не упоминался. А так, это стандартная практика.

практика может и стандартная, но можно было бы хотя бы проверять 1 условие включен облачный доступ или нет, ведь это единственное из-за чего принудительно всех обновили, так? люди не просто так отключают автообновление, а например чтобы в неподходящий момент не прилетело ненужное обновление. а тут получается за меня решили что можно перебрать длинный сложный пароль, предварительно взломав локалку. наверное с ноутом из машины...