當地時間11月15日,美國信息安全技術公司 Kryptowire 披露,發現多款中國生產的安卓(Android)手機預裝了用於收集個人隱私信息的軟件。這款軟件不僅可以收集用戶的短信內容、通話記錄、通訊錄名單和用於識別手機身份的 IMSI 和 IMEI 資料,還可以針對具體用戶和短信內容設置關鍵詞,甚至繞過安卓系統收集手機應用上的數據及進行遠程更新。而這些數據會在用戶毫不知情的情況下傳輸給一個位於上海的伺服器備份。
編寫這款軟件的是上海廣升技術公司(Adups)。根據該公司的資料,截至2016年9月,廣升的軟件已在7億部手機、汽車和其他智能設備上運行,在150個國家的市場佔有率超過70%。Kryptowire 表示,受影響手機可以在美國主要電商輕易買到,其中甚至包括亞馬遜推出的50美元智能機 BLU R1 HD。
原本對此事一無所知的 BLU 公司很快採取了措施。BLU 公布的資料顯示共有12萬部手機受到影響,BLU 已刪除了這個軟件,廣升也承諾已銷毀從 BLU 用戶處獲取的全部信息。根據廣升提供給 BLU 的解釋,帶有相關功能的軟件版本原本並不為美國手機提供,這款軟件是應中國手機製造商要求、為追蹤用戶行為而編寫。
廣升法律代表林麗麗表示,軟件的目的是幫助客戶識別垃圾短訊和電話,並稱向用戶聲明隱私政策的責任在於電話公司而非廣升。她聲稱「廣升只不過是按照電話分銷商的要求提供功能而已」,而這間公司與中國政府並無瓜葛。美國政府則表示,目前尚不清楚這是基於廣告目的進行的秘密數據挖掘,還是與中國政府的情報網絡有關。
由於廣升並未公布受影響的手機名單,目前用戶無法確認自己的手機是否也植入了監控軟件。不過廣升官網顯示,其客戶包括全球最大的兩家手機製造商中興和華為。Kryptowire 副總裁 Tom Karygiannis 表示,「即使你想知道,你也不可能知道它的存在……有技術能力的人也許能自己解決……但一般的消費者怎麼辦?他們毫無辦法。」
Kryptowire 是美國國土安全部的承包商之一,不過他們之所以注意到這一漏洞,卻是由於一名研究人員在設置海外購得的 BLU 手機時出現異常。在之後一週,這名分析師發現,這部手機持續在向位於上海、註冊在廣升名下的伺服器發送短訊內容。目前 Kryptowire 已將情況上報給美國政府,美國國土安全部發言人 Marsha Catron 表示,國土安全部已獲悉這一問題,正與合作機構共同制定合適的緩解策略。
