Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[AndyU]

47 minutes ago, keenet07 said:

Что же вероятнее?

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:

Spoiler

Т.е.  вероятность этого 100% Куда больше?

[_Roman_]

3 minutes ago, AndyU said:

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:

  Hide contents

Т.е.  вероятность этого 100% Куда больше?

думаю что регион они меняют в своей таблице маршрутизации, а на роутер регион и прочие нужные настройки подтягиваются после перезагрузки и отправки cid на сервер.

[keenet07]

2 минуты назад, _Roman_ сказал:

практика может и стандартная, но можно было бы хотя бы проверять 1 условие включен облачный доступ или нет, ведь это единственное из-за чего принудительно всех обновили, так? люди не просто так отключают автообновление, а например чтобы в неподходящий момент не прилетело ненужное обновление. а тут получается за меня решили что можно перебрать длинный сложный пароль, предварительно взломав локалку. наверное с ноутом из машины...

Видимо нельзя было это проверить на существующем ПО. Со стороны роутера, если у вас выключен облачный сервис, то с чего бы ему делиться с сервером обновлений о том включен у него облачный доступ или нет? Да и вообще какими то другими сведениями из конфига не имеющими прямого отношения к обновлению прошивки. И хорошо что такого нет.

[keenet07]

8 минут назад, AndyU сказал:

Наличие вендорского backdoor'а, с помощью которого меняли регионы, с моей точки зрения, подтверждено:

  Показать контент

Т.е.  вероятность этого 100% Куда больше?

А вот в этом вопросе уже требуется узнавать подключено ли облако. Потому-что на облако вы отправляете всю свою конфигурацию. И менять её можете со стороны сервера через приложение. Так почему вы считаете что там нельзя поменять что-либо ещё. Ну вот такова цена облачных штук.

[frontcccp]

1 час назад, _Roman_ сказал:

и тут выключено, и автообновление выключено и пароль 20+ символов. я хз о какой безопасности тут разговаривают, не проверяя эти условия. а что за соглашение? после обновы у меня никто ничего не требовал.

Так его для этого и подсунули всем, а говорят о нашей типо безопасности. Вон, самсунги и хуавеи всякие пообещели типо, что с обновлением прошивки на аппаратах выпущеных после 1 сентября 25 года будут автоматом установлены рустор и любимый всеми макс. А что у нас было 1 сентября ? Правильно, все новые  смартфоны будут продаваться с максом.

[AndyU]

7 minutes ago, _Roman_ said:

думаю что регион они меняют в своей таблице маршрутизации, а на роутер регион и прочие нужные настройки подтягиваются после перезагрузки и отправки cid на сервер.

Скорее, чтение региона осуществляется один раз при загрузке для выбора разных настроек. А уж откуда и как это "защищено", так тут меня удивили в личных сообщениях до состояния полного изумления.

Т.е. перезагрузка нужна после.

И что такое "своя таблица маршрутизации", поясните, пожалуйста.

А так, да, роутер посылет CID в облако, там проверяется, что ему нужно поменять регион, и обратно в ответе отправляется спец.команда. Я так пару роутеров с полки достал, включил после основного, сам перезагрузил и все, регион поменялся. Ну как, спец? Выход в консоль с правами root с помошью недокументированоой CLI команды и вперед.

[AndyU]

15 minutes ago, keenet07 said:

Так почему вы считаете что там нельзя поменять что-либо ещё.

Технически можно. И даже не теоретически, а практически. А вот этически... Один раз использовали по просьбе клиента, но и то я напрягся, а вот второй - уже без просьбы/согласия, и в большом ряде случаев, во вред. Я бы предпочел, чтобы технической возможности не было. Только перепаяв ПЗУ, например.

P.S. И конечно, использовать в бизнес-целях домашний роутер, это не дело, но понимаешь это, только поработав в большой корпорации.

[_Roman_]

14 minutes ago, AndyU said:

И что такое "своя таблица маршрутизации", поясните, пожалуйста.

условно бд откуда сервер забирает данные с регионом и чемто еще для ответа роутеру на присланный cid. затем роутер уже по этому конфигу знает какого он региона и в какой домен ему ходить в облако. на истину не претендую, просто мысли.

[AndyU]

2 minutes ago, _Roman_ said:

условно бд откуда сервер забирает данные с регионом и чемто еще для ответа роутеру на присланный cid. затем роутер уже по этому конфигу знает какого он региона и в какой домен ему ходить в облако. на истину не претендую, просто мысли.

Да. роутеры с регионом EAEU используют облако ea.master.keenetic.cloud, старые, еще с регионом RU - ru.master.keenetic.cloud, европейсие eu.master.keenetic.cloud, турецкие - tr.master.keenetic.cloud. Раньше IP был один и тот же, С весны IP для EAEU и RU поменялся.

[frontcccp]

Подскажите лучше, как откатить прошивку 🙏

[keenet07]

5 минут назад, frontcccp сказал:

Подскажите лучше, как откатить прошивку 

Как обычно. Если есть сохраненный вариант то загружаете его и всё. Только она снова может обновиться, пока процесс принудительного обновления не будет завершен.

Ну либо задайте вопрос более конкретно.

Изменено 28 ноября пользователем keenet07

[keenet07]

28 минут назад, frontcccp сказал:

Я даже не знаю как обычно (.В том то и дело, что даже бекапа не было. Можно же просто взять предыдущую хотя бы, перед той, которую нам ввинтили ? Понимаю, что может опять обновиться, но нужно хотя бы знать процесс. Вдруг все таки заднюю дадут. Спасибо.

Без бэкапа не интересно. Вы можете вернутся на любую предыдущую версию из выложенных, но там будет только базовый набор компонентов и что-то добавить или удалить будет нельзя. Вам это подходит? Или останетесь уже на этой прошивке, настроите как вам нужно по компонентам и на будущее делайте сохранение предыдущей прошивки, при обновлении всегда предлагает ведь.

Изменено 28 ноября пользователем keenet07

[Master2009]

В 18.11.2025 в 19:06, Vladr сказал:

и где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

Вы можете опубликовать в веб-интерфейсе роутера/в мобильном приложении/уведомлениях Android эту информацию, чтобы люди сами решали? Можно даже на входе в веб-интерфейс, до ввода пароля, если уж точно внимание надо обратить, как Сбер мозги компостирует в своём мобильном приложении на входе, если не слишком часто донимать.

Почему-то о наличии обновления система уведомляет нормально, не поломалась сообщать о новой версии. Три режима настройки "автообновление/только самые важные/не обновлять вообще (с грозным предупреждением на входе)" вполне бы решили вопрос и не беспокоить тех, кто не хочет обновляться.

А так вы всех за нервы хорошо дёрнули, кто беспокоится о своей безопасности. Получается, роутер надо самому собирать программно, иначе рано или поздно производитель начинает дичь творить? Откуда такое отношение?

[keenet07]

10 минут назад, Master2009 сказал:

А так вы всех за нервы хорошо дёрнули, кто беспокоится о своей безопасности. Получается, роутер надо самому собирать программно, иначе рано или поздно производитель начинает дичь творить? Откуда такое отношение?

Если вы полностью прочитаете тему, то найдете там информацию и причину по которой нельзя было заранее предупреждать о массовом принудительном обновлении устройств. Написали об этом уже позже.

Облегчу задачу, тема уже слишком большая. Читайте вот отсюда.

https://forum.keenetic.ru/topic/25383-отключить-принудительное-обновление-прошивки/page/3/#findComment-225218

Изменено 28 ноября пользователем keenet07

[gaaronk]

34 минуты назад, keenet07 сказал:

Без бэкапа не интересно. Вы можете вернутся на любую предыдущую версию из выложенных, но там будет только базовый набор компонентов и что-то добавить или удалить будет нельзя. Вам это подходит? Или останетесь уже на этой прошивке, настроите как вам нужно по компонентам и на будущее делайте сохранение предыдущей прошивки, при обновлении всегда предлагает ведь.

Стоп стоп. Компания приняла решение форсить обновление. Уж она то озаботилась созданием резервной копии для всех кого "осчастливила"? Если нет - то почему?

Если такая страшная дыра в безопасности - почему не сделали патч? Была у меня образно версия 4.1.7, стала 4.1.7.1 с патчем.

Вариант - давайте не делать патч, а тупо накатить всем последнюю версию со всеми ее багами, ну это так себе.

 

[keenet07]

2 минуты назад, gaaronk сказал:

Стоп стоп. Компания приняла решение форсить обновление. Уж она то озаботилась созданием резервной копии для всех кого "осчастливила"? Если нет - то почему?

Если такая страшная дыра в безопасности - почему не сделали патч? Была у меня образно версия 4.1.7, стала 4.1.7.1 с патчем.

Вариант - давайте не делать патч, а тупо накатить всем последнюю версию со всеми ее багами, ну это так себе.

Короткий ответ: нет такой технической возможности. А действовать нужно было.

[Master2009]

18 минут назад, keenet07 сказал:

Если вы полностью прочитаете тему, то найдете там информацию и причину по которой нельзя было заранее предупреждать о массовом принудительном обновлении устройств. Написали об этом уже позже.

Сейчас и читаю. Также написал решение, почему иначе тоже не фонтан. Если уж так хочется, индивидуально через админку владельцев роутеров со старыми версиями можно предупреждать, проверив, насколько у них старая прошивка, вряд ли владелец захочет сливать на сторону, какая у него на личном роутере дырявая прошивка, скорее примет решение обновиться. Можно обновить у "автообновляемых" и до кучи у тех, кто выставил "только важные обновления", но грозно предупредить через веб-интерфейс тех, кто выставил "не обновлять", всё равно сервера на предмет новой версии дёргаете. Тем более, что и автообновление у вас было спустя кучу времени после исправления.

Сейчас Google со смартфонами развлекается, начал автоматически неоднократно замораживать приложения, которые ему лично не нравятся и блокировать их разморозку. Автообновление системных приложений живёт своей жизнью, кнопка автообновления давно выключена, да это и вообще за её рамки выходит. Все обращения проигнорировали. Не думаю, что у меня будет следующий смартфон на Android, приложу для этого все усилия.

Изменено 28 ноября пользователем Master2009
Дополнил сообщение.

[gaaronk]

3 минуты назад, keenet07 сказал:

Короткий ответ: нет такой технической возможности. А действовать нужно было.

Ну ок.

"Да, у нас есть бэкдор. Мы им воспользовались. Примите наши фальшивые извинения. Нет, бэкдор мы не удалим, как его отключить мы не расскажем. Захотим и воспользуемся им снова и снова. Ваши устройства вам не принадлежат."

 

Вопросов больше не имею.

[keenet07]

4 минуты назад, gaaronk сказал:

"Да, у нас есть бэкдор. Мы им воспользовались. Примите наши фальшивые извинения. Нет, бэкдор мы не удалим, как его отключить мы не расскажем. Захотим и воспользуемся им снова и снова. Ваши устройства вам не принадлежат."

Вы вообще за темой следите? По моему уже все аспекты подробно разобрали.

Как обычно говорят в таких случаях. Нам очень жать что у вас сложилось такое мнение.

Изменено 28 ноября пользователем keenet07

[gaaronk]

Только что, keenet07 сказал:

Вы вообще за темой следите?

Конечно. Очень внимательно. Есть железка. Есть ПО. Версия ПО меня устраивает. Более того именно эта версия ПО мне нужна. По ряду причин. И для этого автообновление отключено.

Производитель признает что это не баг, что роутер сам обновился. Это сознательно заложенный функционал. И какой образ ПО с каким функционалом мне против моей воли вольют в следующий раз - я не знаю.

 

Если это фича, а не бага - сообщите уже тут, в телеграмм канале, в документации - как это отключить.

[keenet07]

4 минуты назад, gaaronk сказал:

Производитель признает что это не баг, что роутер сам обновился. Это сознательно заложенный функционал. И какой образ ПО с каким функционалом мне против моей воли вольют в следующий раз - я не знаю.

 

Если это фича, а не бага - сообщите уже тут, в телеграмм канале, в документации - как это отключить.

Никакого не вольют, если вы позаботитесь об этом. У вас наверняка есть все бэкапы, раз вы сознательно выбрали какую-то конкретную версию. Вернитесь на неё, восстановите настройки. И сделайте так чтобы больше никакие обновления к вам не приходили совсем. Всё остальное уже случилось.

По поводу что будет дальше. Сказали же что услышали нас и всё сообщат. Ждать никто не хочет.

Изменено 28 ноября пользователем keenet07

[gaaronk]

Только что, keenet07 сказал:

И сделайте так чтобы больше никакие обновления к вам не приходили совсем. Всё остальное уже случилось.

Ну так дайте официальную инструкцию. Почему все так старательно обходят этот вопрос стороной?

[keenet07]

Только что, gaaronk сказал:

Ну так дайте официальную инструкцию. Почему все так старательно обходят этот вопрос стороной?

Какую ещё инструкцию, я не сотрудник компании. Кто хотел, тот давно всё сделал. Описывать не очень полезную инструкцию в публичном пространстве, такое себе. Весь инструментал доступен на самом устройстве, просто подумайте и сделайте. В ЛС писать мне за этим не нужно.

[Master2009]

23 минуты назад, keenet07 сказал:

Какую ещё инструкцию, я не сотрудник компании. Кто хотел, тот давно всё сделал. Описывать не очень полезную инструкцию в публичном пространстве, такое себе. Весь инструментал доступен на самом устройстве, просто подумайте и сделайте. В ЛС писать мне за этим не нужно.

Ответ без ответа получается. В ЛС не вам, а кому тогда? Я бы тоже отключил подобное поведение, почему надо гадать, что с ним сделать? Куда он стучится кроме серверов NDMS и куда будет стучаться ещё, если в новой версии прошивки всё опять поменяется?

P.S. кстати, почему не получается оставить "лайки" к постам? Мне форум сообщил о каком-то "лимите на сегодня", а я их не более 5-6 шт. поставил.

Изменено 28 ноября пользователем Master2009
Исправил текст.

[keenet07]

6 минут назад, Master2009 сказал:

P.S. кстати, почему не получается оставить "лайки" к постам? Мне сообщило о каком-то "лимите на сегодня", а я их не более 5-6 шт. поставил.

Да нет, 10. Ограничение в сутки есть. Видимо 10. Я тоже попадал под него.

Изменено 28 ноября пользователем keenet07

[MDP]

 

Вот самый правильный и адекватный пост!!!

Я считаю лично, что тема пошла по кругу...надо уже закрывать.

[Илья Хрупалов]

4 часа назад, AndyU сказал:

Тогда придется проверять

Пожалейте свое время. Облачное управление через приложение вообще никак с этим не связано.

[Илья Хрупалов]

5 часов назад, frontcccp сказал:

соглашение о предоставлении персональных данных ! К чему бы это ?

Ни к чему, потому что оно выводится довольно давно (версию сейчас не вспомню, но около года уже).

[Илья Хрупалов]

4 часа назад, gaaronk сказал:

всеми доступными методами избегает предоставления информации о том, как на роутере сделать ignore_force_update

На данном этапе никак, и всеми методами пытаемся донести, что исправим эту недоработку.

[AndyU]

6 minutes ago, Илья Хрупалов said:

Пожалейте свое время. Облачное управление через приложение вообще никак с этим не связано

Однако ведь телеметрия уходит в облако независимо от обсуждаемой настройки?