Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[keenet07]

10 минут назад, AndyU сказал:

Оттуда про задержки при автообновлениях

Я вам выше об этом написал. И что? 

Выйдет новая прошивка, устройство покажет что она вышла. Включаете режим автоматического обновления и что? Устройство перестанет видеть новую прошивку? Нет, просто будет ждать флага на разрешение обновления со стороны сервера. Когда разрешат, тогда обновится. Может через неделю, может через две, решать сотрудникам. Это справедливо именно для режима автообновления.

Объясните свою логику.

Изменено 13 часов назад пользователем keenet07

[AndyU]

1 minute ago, keenet07 said:

Я вам выше об этом написал. И что? 

Пардон, я вас не понял. Но результат то один и тот же - задержка. И кстати, значит роутер на сервер обновлений еще сообщает, что хочет обновиться в ручном режиме или авто.

 

[svoron]

9 часов назад, Илья Хрупалов сказал:

Счетчик голосования получил за последнюю неделю не более 4 голосов.

Что за голосование? Где оно инициировано? 

[Mamay]

7 минут назад, svoron сказал:

Что за голосование? Где оно инициировано? 

С самом верху топа в шапке, с левой стороны напротив названия топа стрелка вверх. Это штатная для движка форума.

[_Roman_]

1 hour ago, AndyU said:

Вроде бы, это включено по умолчанию. Я не думаю, что многие отключали, и я не видел сообщений с матюгами при отключенном облачном доступе. 

Зарегался специально чтобы написать что такие есть, мне этот доступ не упал ни разу, пароль при этом 20+ символов. и без матюков только потому что обновление пришлось на пересменку между торговыми сессиями(я занимаюсь трейдингом). если бы это было во время торгов, возможно и с матюками выложил скрины возможных убытков. и да, гдето тут писали про время что оно сбрасывается при перезагрузке. так вот, гига обновилась со сбросом времени и последующей установкой на 15 апреля(как?), а хопер обновился без проблем и время не сбрасывалось, хотя лог вроде такой же.

[AL3]

а мы тут какой-то официальный ответ то получим, или можем и дальше квакать в своем болоте?

представители кинетика/некинетика? 

[keenet07]

1 час назад, AndyU сказал:

И кстати, значит роутер на сервер обновлений еще сообщает, что хочет обновиться в ручном режиме или авто.

В ручном сразу отдаст обновление если оно есть. А в автоматическом, либо отдаст, либо нет в зависимости от того как вендор решит, достаточно ли стабильная версия. И через недельку две, разрешат автоматическое обновление на устройствах.

В общем примерный алгоритм такой заложен в саму прошивку на роутере:

Роутер: Запрашивет на сервере наличие новой версии

Сервер: Отвечает информацией об обновлении и шлет управляющие флаги.

Роутер: если присутствует флаг force_update=true, то принять обновление и обновить прошивку;

иначе, если  на устройстве включен режим Автоматического обновления и есть флаги сервера обновление доступно и autoupdate разрешен, то обновить прошивку. 

иначе если была нажата кнопка ручного обновления (или дана команда в консоле) то если есть флаг обновление доступно, то обновить прошивку.

иначе сообщить что новых версий не обнаружено.

Как видно из этого, производитель в любой момент может обновить прошивку выставив определенный управляющий флаг. Никакой дополнительной команды из облака не требуется.

При ручном обновлении роутер уже знает что пользователь дал разрешение на обновление и проходит всё по тому же алгоритму.

Изменено 12 часов назад пользователем keenet07

[frontcccp]

В 17.11.2025 в 17:54, Namenloss сказал:

"Не нравится, не держим, неблагодарные, мы тут про безопасность думаем, при включении мобильного приложения тащим к себе все в облако, а после спустя 2 года публикуем про бреши в системе, что еще надо? А тут обновили принудительно ради безопасности, и не довольны. И так не подходит и так не подходит, Вам что TOTP/2FA сделать? Так у нас устройства не умеют время "держать", зайти не сможете потом еще"....

""Это наша заправка"(с) и мы ее обновляем как нам захочется..."

Обновлять обновляйте, НО попутно было подсунуто соглашение о предоставлении персональных данных ! К чему бы это ?

[Mamay]

27 минут назад, AL3 сказал:

а мы тут какой-то официальный ответ то получим, или можем и дальше квакать в своем болоте?

представители кинетика/некинетика? 

@Илья Хрупалов- имеет непосредственное отношение к имярек.

[frontcccp]

10 часов назад, Илья Хрупалов сказал:

Всё объяснили, признали, извинились, пообещали уже многократно. Если не удалите свой начинающий опять лить из пустого в порожнее пост, это сделаю я. Вы прикидываетесь, или не понимаете (или есть какой-то другой истинный смысл), что от силы заданных вами паролей на старой прошивке ничего не зависит? Даже если не понимаете, перестаньте флудить, перечитайте тему или телеграм-группу. Отныне посты в духе "всё пропало" будут удаляться после небольшой паузы. Счетчик голосования получил за последнюю неделю не более 4 голосов.

Я тут новенький и тоже пострадал от вашего беспредела. Ткните носом, где все объяснили, извинились и исправили. На данный момент я не могу попасть в админку роутера, не поставив галку на соглашении о предоставлении персональных данных ! Я так понимаю, это и было все затеяно именно для этого. Впарить нам это соглашение насильно. Не на тех напали.

[gaaronk]

38 минут назад, keenet07 сказал:

Роутер: если присутствует флаг force_update=true, то принять обновление и обновить прошивку;

При этом компания что только не делает - поясняет, рассказывает, извиняется, аргументирует, но всеми доступными методами избегает предоставления информации о том, как на роутере сделать ignore_force_update

Может пора уже рассказать?

Потому что для тем кому это надо сейчас - это важно. А для компании на будущее это не критично - она ведь мотает на ус и клянется что никогда-никогда более этот флаг не выставит на своих серверах обновлений...

Или нам опять что то недоговаривают?!

Изменено 11 часов назад пользователем gaaronk

[AndyU]

51 minutes ago, _Roman_ said:

Зарегался специально чтобы написать что такие есть

Спасибо, Т.е. тут выключено?

Тогда придется проверять, что эта настройка выключает. Как бы только не доступ из мобильного приложения, а не все общение с облаком. Но на это время надо и пару роутеров в цепочку. Не зря же в новом лиц.соглашении требуется согласие на обработку перс.данных. Где бы время взять.

[AndyU]

43 minutes ago, keenet07 said:

Как видно из этого, производитель в любой момент может обновить прошивку выставив определенный управляющий флаг. Никакой дополнительной команды из облака не требуется.

Доказательством, какая версия верна, будет только реассемблированная прошивка. Но нафига козе баян, когда уже есть вендорский backdoor общего назначения?

[_Roman_]

2 minutes ago, AndyU said:

Спасибо, Т.е. тут выключено?

Тогда придется проверять, что эта настройка выключает. Как бы только не доступ из мобильного приложения, а не все общение с облаком. Но на это время надо и пару роутеров в цепочку. Не зря же в новом лиц.соглашении требуется согласие на обработку перс.данных. Где бы время взять.

и тут выключено, и автообновление выключено и пароль 20+ символов. я хз о какой безопасности тут разговаривают, не проверяя эти условия. а что за соглашение? после обновы у меня никто ничего не требовал.

[keenet07]

7 минут назад, AndyU сказал:

Доказательством, какая версия верна, будет только реассемблированная прошивка. Но нафига козе баян, когда уже есть вендорский backdoor общего назначения?

Конечно, реассемблированная прошивка. ) По моему вам хоть на кванты вместе с железом всё разбери, вас это не убедит.

Не следует множить сущности сверх необходимости.

Другими словами из конкурирующих объяснений выбирай то, которое требует меньше допущений.

Применительно к нашей ситуации:

Force-update флаг на сервере - 1. Разработчики предусмотрели механизм для критических обновлений

Бэкдор - 1. Злой умысел 2. Скрытый функционал 3. Конспирация

Что же вероятнее?

Изменено 11 часов назад пользователем keenet07

[AndyU]

3 minutes ago, _Roman_ said:

а что за соглашение? после обновы у меня никто ничего не требовал.

Я лично под этот паровоз не попадал, но и тут недавно кто-то про это упоминал, и на 4pda я это видел:

https://4pda.to/forum/index.php?showtopic=1048524&st=1240#entry140342280

[AndyU]

2 minutes ago, keenet07 said:

По моему вам хоть на кванты вместе с железом всё разбери, вас это не убедит.

На самом деле спор идет, есть один backdoor или два? 

[AndyU]

59 minutes ago, keenet07 said:

В общем примерный алгоритм такой заложен в саму прошивку на роутере:

Ну и какой же вариант, ваш или мой проще?

[keenet07]

Единственное в чем действительно можно упрекнуть вендора, так это только то что нигде в документации режим экстренного обновления не упоминался. А так, это стандартная практика.

[_Roman_]

24 minutes ago, keenet07 said:

Единственное в чем действительно можно упрекнуть вендора, так это только то что нигде в документации режим экстренного обновления не упоминался. А так, это стандартная практика.

практика может и стандартная, но можно было бы хотя бы проверять 1 условие включен облачный доступ или нет, ведь это единственное из-за чего принудительно всех обновили, так? люди не просто так отключают автообновление, а например чтобы в неподходящий момент не прилетело ненужное обновление. а тут получается за меня решили что можно перебрать длинный сложный пароль, предварительно взломав локалку. наверное с ноутом из машины...

[AndyU]

47 minutes ago, keenet07 said:

Что же вероятнее?

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:

Spoiler

Т.е.  вероятность этого 100% Куда больше?

[_Roman_]

3 minutes ago, AndyU said:

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:

  Hide contents

Т.е.  вероятность этого 100% Куда больше?

думаю что регион они меняют в своей таблице маршрутизации, а на роутер регион и прочие нужные настройки подтягиваются после перезагрузки и отправки cid на сервер.

[keenet07]

2 минуты назад, _Roman_ сказал:

практика может и стандартная, но можно было бы хотя бы проверять 1 условие включен облачный доступ или нет, ведь это единственное из-за чего принудительно всех обновили, так? люди не просто так отключают автообновление, а например чтобы в неподходящий момент не прилетело ненужное обновление. а тут получается за меня решили что можно перебрать длинный сложный пароль, предварительно взломав локалку. наверное с ноутом из машины...

Видимо нельзя было это проверить на существующем ПО. Со стороны роутера, если у вас выключен облачный сервис, то с чего бы ему делиться с сервером обновлений о том включен у него облачный доступ или нет? Да и вообще какими то другими сведениями из конфига не имеющими прямого отношения к обновлению прошивки. И хорошо что такого нет.

[keenet07]

8 минут назад, AndyU сказал:

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:

  Показать контент

Т.е.  вероятность этого 100% Куда больше?

А вот в этом вопросе уже требуется узнавать подключено ли облако. Потому-что на облако вы отправляете всю свою конфигурацию. И менять её можете со стороны сервера через приложение. Так почему вы считаете что там нельзя поменять что-либо ещё. Ну вот такова цена облачных штук.

[frontcccp]

1 час назад, _Roman_ сказал:

и тут выключено, и автообновление выключено и пароль 20+ символов. я хз о какой безопасности тут разговаривают, не проверяя эти условия. а что за соглашение? после обновы у меня никто ничего не требовал.

Так его для этого и подсунули всем, а говорят о нашей типо безопасности. Вон, самсунги и хуавеи всякие пообещели типо, что с обновлением прошивки на аппаратах выпущеных после 1 сентября 25 года будут автоматом установлены рустор и любимый всеми макс. А что у нас было 1 сентября ? Правильно, все новые  смартфоны будут продаваться с максом.

[AndyU]

7 minutes ago, _Roman_ said:

думаю что регион они меняют в своей таблице маршрутизации, а на роутер регион и прочие нужные настройки подтягиваются после перезагрузки и отправки cid на сервер.

Скорее, чтение региона осуществляется один раз при загрузке для выбора разных настроек. А уж откуда и как это "защищено", так тут меня удивили в личных сообщениях до состояния полного изумления.

Т.е. перезагрузка нужна после.

И что такое "своя таблица маршрутизации", поясните, пожалуйста.

А так, да, роутер посылет CID в облако, там проверяется, что ему нужно поменять регион, и обратно в ответе отправляется спец.команда. Я так пару роутеров с полки достал, включил после основного, сам перезагрузил и все, регион поменялся. Ну как, спец? Выход в консоль с правами root с помошью недокументированоой CLI команды и вперед.

[AndyU]

15 minutes ago, keenet07 said:

Так почему вы считаете что там нельзя поменять что-либо ещё.

Технически можно. И даже не теоретически, а практически. А вот этически... Один раз использовали по просьбе клиента, но и то я напрягся, а вот второй - уже без просьбы/согласия, и в большом ряде случаев, во вред. Я бы предпочел, чтобы технической возможности не было. Только перепаяв ПЗУ, например.

P.S. И конечно, использовать в бизнес-целях домашний роутер, это не дело, но понимаешь это, только поработав в большой корпорации.

[_Roman_]

14 minutes ago, AndyU said:

И что такое "своя таблица маршрутизации", поясните, пожалуйста.

условно бд откуда сервер забирает данные с регионом и чемто еще для ответа роутеру на присланный cid. затем роутер уже по этому конфигу знает какого он региона и в какой домен ему ходить в облако. на истину не претендую, просто мысли.

[AndyU]

2 minutes ago, _Roman_ said:

условно бд откуда сервер забирает данные с регионом и чемто еще для ответа роутеру на присланный cid. затем роутер уже по этому конфигу знает какого он региона и в какой домен ему ходить в облако. на истину не претендую, просто мысли.

Да. роутеры с регионом EAEU используют облако ea.master.keenetic.cloud, старые, еще с регионом RU - ru.master.keenetic.cloud, европейсие eu.master.keenetic.cloud, турецкие - tr.master.keenetic.cloud. Раньше IP был один и тот же, С весны IP для EAEU и RU поменялся.

[frontcccp]

Подскажите лучше, как откатить прошивку 🙏