美国市场销售的廉价 Android 手机被发现偷偷向中国传数据

下一篇文章

不为特朗普上台背锅!Facebook 要用人工智能打击假新闻

信息安全公司 Kryptowire 报告称,在美国市场销售、预装在某些 Android 手机上的商业固件会偷偷将高度敏感的数据发回给位于中国的第三方公司。

在用户不知情、未经用户同意情况下传送的数据包括文字信息、通话记录、通讯录、应用使用数据,甚至用户的位置。

受质疑的智能手机包括 BLU R1 HD。这款手机通过亚马逊等主要零售商销售,价格约为 50 美元。

目前尚不清楚受影响手机的完整清单。

开发这一固件的公司表示,错误地在美国销售的手机中安装了该固件。这一固件版本原本提供给一家中国 OEM 厂商,而该厂商在中国国内销售产品。

Kryptowire 在 公告 中详细分析了该固件的代码和联网情况:

这些设备主动发送用户和设备信息,包括完整的文字消息、联系人列表、含完整号码的通话记录,以及 IMSI 和 IMEI 等设备唯一识别码。随手机提供的固件,以及随后的升级允许在未经用户同意的情况下远程安装应用。在某些版本软件中,设备的具体位置信息也会被发送。固件可根据远程定义的关键词识别特定用户和短信。固件还会收集并发送受监控设备上所安装应用的使用信息,绕开 Android 的许可系统,利用高系统权限去远程执行命令,甚至远程对设备进行重新编程。

Kryptowire 表示,最终这些个人信息被发送至上海广升信息技术股份有限公司(Shanghai Adups Technology Co. Ltd),该公司开发 FOTA 无线升级系统。

广升信息在 网站 上表示,该公司拥有 7 亿活跃用户,在 200 多个国家和地区市场份额超过 70%。其 FOTA 系统被集成至超过 400 家移动运营商、半导体厂商和设备厂商的产品,产品涉及手机、可穿戴设备、汽车和电视机。

在接受《纽约时报》采访时,广升信息的法律代表表示,该固件功能是应中国一家客户的要求所开发的,其目的是打击垃圾短信,提供客户支持。

广升信息宣称,在 Kryptowire 与该公司取得联系后,已删除了所有误收集的数据。BLU CEO 也对《纽约时报》表示,该公司的手机已不再收集数据。不过在该公司发布升级,停止固件的数据收集行为之前,已有约 12 万部手机受到影响。

Kryptowire 指出,这一固件的软件和行为绕开了移动端反病毒工具的监测,因为反病毒工具假定随设备发布的软件不是恶意软件,并对其进行了白名单处理。

广升信息收集的数据在传输中得到了加密。不过,Kryptowire 在分析中识别了加密密钥,并解出了其中的内容。

该公司的分析还显示,根据数据类型的不同,数据传输也会有所不同。例如,短信和通话记录每 72 小时同步,而个人识别信息每 24 小时就会同步。该公司还发现了广升信息服务器响应时的额外功能,即启用监控系统,支持对特定电话号码和短信中关键词的搜索。

Kryptowire 认为,此次事件表明,“在供应链的每个阶段都需要更好的透明度”。该公司已向美国政府报告了对固件的分析,而政府部门正在与合作伙伴一同,研究“适当的应对策略”。

翻译:维金

Budget US Android smartphones found secretly sending personal data to China

blog comments powered by Disqus