Бекдор от производителя - это реальность?

Это — ежесекундная, объективная реальность. Любой современный телефон напичкан вирусами доне́льзя. Проблема в том, что общество не считает google, apple, xiaomi, huawei и далее по списку — авторами вирусов, а их продукты — вирусами.
Хотя разобравшись немного в этом вопросе , с обществом довольно трудно согласиться.

Начнем с «железных» угроз

Конкретный чип можно проэксплуатировать:

• по интернету
• по его «железному» каналу — т. е. по gsm/bluetooth/wifi/gps

Возможности строго железного канала минимальны.
Размеры/протоколы не позволят загрузить сколько-нибудь рабочий payload, разве что за исключением bluetooth/wifi, но такая атака очевидно не может быть удаленной, придется приблизиться к жертве минимум метров на 50 (с хорошей антенной).

Железные бекдоры (не считая Wi-Fi/BT) — это скорее из области возможностей анб, и строго в пределах слежки, т. е. получать и анализировать «железные» данные, но не управлять машиной.

Другое дело программная часть

С учетом установленных программных комплексов в каждом современном телефоне, слежка и даже удаленное управление — задачка совсем несложная как для производителя, так и для криминалистов, которые к производителю обратяться при случае. Для этого нужны:

• сама программная часть (системные приложения, куски фреймворка)
• доступ в сеть (иначе как получать информацию и передавать команды, логично)

Как бороться?

Рецепт не так уж сложен:

1. вырезаем все лишнее (к слову, в BespalePhone вырезано около 2/3 изначальной системы, как раз в этих целях)
2. запрещаем доступ в интернет для всего оставшегося (зачем камере/телефону/контактам/галерее доступ в интернет, логично? Свои функции эти приложения вполне могут выполнять и офлайн)
3. выключаем wifi сразу, как перестали пользоваться wifi-сетью (при выходе из дома, например)

И, конечно, все эти пункты (1−2-3) реализованы в BespalePhone из коробки. А также множество других техник и алгоритмов анонимизации, защиты личной информации, предотвращения удаленного доступа.
Узнать подробнее