Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Master2009]

8 минут назад, Leshiyart сказал:

и у меня заблокировали возможность замены файла что аж через рекавери надо восстанавливать?

Вы обновитесь на эту прошивку 4.3.6.3 и сами проверьте, будете не столь категоричны. Я пальцами в админку уже потыкал без эффекта и реакции. Мобильное приложение этого функционала вообще не имеет, вот и доступно только через Recovery. Я квест прошёл, больше желания тратить время на это нет.

Изменено 10 декабря пользователем Master2009
Дополнил сообщение.

[Leshiyart]

11 часов назад, Master2009 сказал:

Я пальцами в админку уже потыкал без эффекта и реакции.

еще раз повторить в чем дело? 
никто ничего не блокировал в меню, так работает включённая безопасная настройка

[Master2009]

10 часов назад, Leshiyart сказал:

еще раз повторить в чем дело? 
никто ничего не блокировал в меню, так работает включённая безопасная настройка

То есть сама эта настройка препятствует обновлению прошивки и замене настроек в админке через файл? Хорошо, значит в этом ложная тревога, мне уже не проверить, прошивка откачена. В админке об этом никаких предупреждений, выключать эту настройку я обычно не рисковал, а после самообновления тем более.

 

Upd. Старая версия прошивки 4.0.2. обновление прошивки в админке и замену настроек с помощью загрузки файла при выставленной настройке "Режим безопасной настройки" не блокирует.

 

 

[Master2009]

Кто может, просьба проверить, может ли включенная функция "Режим безопасной настройки" в прошивке 4.3.6.3 блокировать обновление прошивки и настроек файлом через админку? У меня уже не получится, новую прошивку я успешно снёс.

 

Upd. Никто не сможет проверить, если не слишком сложно? При установленной прошивке 4.3.6.3 зайти в админке роутера в раздел "Параметры системы" и включить переключатель "Режим безопасной настройки", сохранить изменения, после чего посмотреть, активны ли в админке кнопки перепрошивки и загрузки параметров роутера через файл, нажимаются ли и предлагают ли загрузить файл на роутер (именно в роутер, не скопировать себе на компьютер). После этого ещё раз нажать тот же переключатель, выключить "Режим безопасной настройки" и снова посмотреть, активны ли кнопки перепрошивки и замены настроек в админке.

Изменено 11 декабря пользователем Master2009
Дополнил сообщение.

[sergeyk]

22 часа назад, Master2009 сказал:

Upd. Никто не сможет проверить, если не слишком сложно? При установленной прошивке 4.3.6.3 зайти в админке роутера в раздел "Параметры системы" и включить переключатель "Режим безопасной настройки", сохранить изменения, после чего посмотреть, активны ли в админке кнопки перепрошивки и загрузки параметров роутера через файл, нажимаются ли и предлагают ли загрузить файл на роутер (именно в роутер, не скопировать себе на компьютер). После этого ещё раз нажать тот же переключатель, выключить "Режим безопасной настройки" и снова посмотреть, активны ли кнопки перепрошивки и замены настроек в админке.

Что вы хотите проверить? Правда ли написана в changelog?

• Цитата

  Web: заблокированы системные настройки, связанные с конфигурацией, при активном режиме fail-safe [NWI-4032]

   

[VVS]

9 минут назад, Vorobyev_A сказал:

Ну тогда Вам, как умному человеку, не составить труда указать какой собственно ботнет уничтожили:
https://t.me/Netcraze/1077114
https://keenetic.com/global/security?lang=ru#weak-passwords-pre-keeneticos-43
И, желательно, количество устройств "Кинетик/"НЕТКРЕЙЗ" задействованых в этом ботнете (можно в процентах).

В телегу лезть мне лениво, времени жалко.
Я ориентируюсь на то, что написано в этой ветке форума.
Надеюсь, Вы её прочитали, прежде чем писать?

PS
И да - ещё советую в поисковике набрать "keenetic ботнет" и таки ознакомиться с материалом, о котором Вы пишете.

Изменено 11 декабря пользователем VVS

[eralde]

@Vorobyev_A, @VVS, продолжайте, пожалуйста, "бокс по переписке" в ЛС.

[Илья Хрупалов]

1 час назад, KeyYerS сказал:

(видимо вместе с авто-принудительным-обновлением автоматом включается в активный режим галочка "Безопасная настройка", чего ни на каких ранее версиях замечено мною не было)

Отставить чушь. Вот у меня 1011 принудительно обновили -- ничего там лишнего не включается. Стон бы стоял вселенский.

[Master2009]

В 11.12.2025 в 14:19, sergeyk сказал:

Что вы хотите проверить? Правда ли написана в changelog?

Версия 4.3 Beta 1 (preview):

...

Web: заблокированы системные настройки, связанные с конфигурацией, при активном режиме fail-safe [NWI-4032]

Да, похоже именно это. Для показа предупреждений, что обновление недоступно, пока включён режим "fail-safe" (Режим безопасной настройки) надо мышу было навести на кнопку, а у меня мыши там не было, браузеры мобильные, в основном описании пункта в админке ничего не написано. Вот и решил, что обновление через админку наглухо блокировано.

 

В 11.12.2025 в 15:11, KeyYerS сказал:

Проверил. Блокирует в 4.3.6.3 (видимо вместе с авто-принудительным-обновлением автоматом включается в активный режим галочка "Безопасная настройка", чего ни на каких ранее версиях замечено мною не было).

Благодарю! Включаться наверно вряд ли, если только отдельно не будет замечено. В моём случае "Режим безопасной настройки" уже был включен до автообновления, он мне и старые настройки роутера спас, не дав их переписать, но и откатить прошивку в админке через файл не дал. Пришлось через Recovery лезть в обход, тексты выше описывают это развлечение. Что-ж, зато теперь роутер можно поднять из полудохлого состояния, учения прошли успешно.

 

В 11.12.2025 в 16:33, Илья Хрупалов сказал:

Вот у меня 1011 принудительно обновили -- ничего там лишнего не включается.

Согласен. Я описывал ситуацию, когда "Режим безопасной настройки" был уже включён, он как раз самостоятельно никак не менялся. Наоборот, от него больше пользы, если роутер правильно настроен, старые настройки может спасти.

Изменено 15 декабря пользователем Master2009
Дополнил сообщение.

[Master2009]

6 часов назад, frontcccp сказал:

То что мне проставили галку в соглашении о персональных данных без меня не имеет отношения к теме ??? Может просто сказать нечего или наоборот, есть что скрывать ?

frontccp, поставьте сами или с чьей-то помощью старую версию прошивки и заблокируйте обновление через Firewall или DNS, если получится. Прошивки есть в шапке форума, даже если не сохранили свою версию прошивки. Для старой прошивки будет действовать старое соглашение и вопрос будет решён.

Можно ещё сразу после принятия, если заморочиться, отправить письменный отказ в обработке персональных данных или изменить перечень разрешенных методов, по закону это обязаны сделать, хотя и не известно, что реально будет сделано. Всё равно здесь всё закрыто и на словах, не проверить никак.

7 часов назад, Илья Хрупалов сказал:

Открыто напишу (но потом тоже удалю): всё, что не имеет отношения к теме, будет удаляться. Может, с некоторыми отсрочками, чтобы все успели налюбоваться.

Илья Хрупалов, напишите пожалуйста, а то непонятно из всех ответов, в итоге что реально планируется и будет сделано с прошивками? Поскольку тема многогранная и все обсуждаемое так или иначе пересекается с тем, что произошло и что при этом сделала фирма Keenetic. И если "всё не по теме" будет удалено, как вы пишете, хотелось бы знать, как при этом будут решены вопросы, связанные с темой.

Из самих прошивок всё же будут удалены функции удаленного управления без ведома и контроля покупателей роутеров, чтобы удаленное управление осталось в формате только предварительного получения согласия пользователя и с уведомлением? Как писал раньше, например, три варианта выбора режима автообновления прошивки с возможностью его действительно полного отключения? И что мешает внедрить важные уведомления для пользователей при входе в админку или другие ранее предложенные способы защиты роутеров? Меня например, как писал выше, глюки самообновленной прошивки 4.3.6.3 не устроили.

Или можно ожидать только переработки старого пользовательского соглашения для роутеров с его подгонкой под текущую ситуацию? С расширением прав производителя, без каких-либо изменений ситуации и бэкдор производителя для роутеров останется на том же старом месте? Спасибо.

 

Upd. Кто может разъяснить и знает ситуацию, реально хотел бы понять. Вот есть роутер со старой прошивкой, включено облако KeenDNS, роутер регулярно пингует облако, сообщает о своём домене, CID, серийном номере, что он в сети и скорее всего о текущей версии прошивки, когда обращается за этим на сервер обновления? Всё это Keenetic собирает в базу данных? Значит можно взять из базы данных информацию, какой роутер с прошивкой ранее определенной версии связан с каким доменом KeenDNS и индивидуально поменять связь его домена, указав другой IP для домена, при этом вместо его веб-админки показать уведомление, что надо обновить прошивку или сменить пароль? Или из-за этого могут поломаться другие сервисы, связанные с доменом по другим портам? Или, может, можно как-то ещё переадресовать пользователя, блокировав только админку? Например перевести все роутеры со старой версией прошивки принудительно в режим серого IP-адреса и блокировать трафик только на админку, когда он пойдет через облако? Что вообще было реально сделать с роутерами в этой ситуации?

Облако - просто Dynamic DNS, компьютер получил из DNS IP-адрес роутера и трафик уходит на него, разве что если IP-адрес не серый, тогда облако становится посредником. Если блокировать доступ к админке, то только в момент получения обращающимися к роутеру нового IP-адреса из KeenDNS, переадресуя его на сервер-"HTTPS-заглушку", при этом из домена можно вытащить информацию о том, к какому роутеру обращаются, но кто именно и зачем, неизвестно. При блокировке домена KeenDNS страдает удаленное управление и входящие обращения по адресу KeenDNS, исходящая связь у роутера не теряется. Подтвердить личность обращающегося можно через Госуслуги/телефон/смс, после этого пустить посетителя к роутеру, сменив DNS на правильный или разрешив обращение к серому IP-адресу и порту 443. Схема выглядит несколько костыльной за неимением лучшего механизма, вовремя не встроили, но может быть есть ещё что-то в этой ситуации для решения?

[Master2009]

Или вот ещё общие/индивидуальные уведомления на входе в админку. Роутер регулярно пингует сервер обновлений, который сообщает о доступной новой версии прошивки. Что мешает в этот пинг встроить запрос файла с предупреждением по XML/HTTP, который сохранять и выводить при его наличии не внутри админки, а в форме входа в админку роутера?

[Aleksman4o]

Или вот ещё вариант - написать, что в дальнейшем всё будет как было, тему закрыть и те 3 человека, которые ощутили "глюки самообновленной прошивки", пусть пишут в саппорт и индивидуально решают этот вопрос, не пытаясь придумать новые костыли поверх старых, которых они понаставили в настройках и через opkg.

Изменено 15 декабря пользователем Aleksman4o