端聞

中國公司被指在安卓手機留後門,每隔72小時將個人短信發到上海伺服器


中國公司被指在安卓手機留「後門」。圖為2015年3月26日,中國四川,兩個女士在使用手提電話。
美國信息安全技術公司發現,中國公司在安卓手機留「後門」,收集個人信息。攝:Kevin Frayer/GETTY

當地時間11月15日,美國信息安全技術公司 Kryptowire 披露,發現多款中國生產的安卓(Android)手機預裝了用於收集個人隱私信息的軟件。這款軟件不僅可以收集用戶的短信內容、通話記錄、通訊錄名單和用於識別手機身份的 IMSI 和 IMEI 資料,還可以針對具體用戶和短信內容設置關鍵詞,甚至繞過安卓系統收集手機應用上的數據及進行遠程更新。而這些數據會在用戶毫不知情的情況下傳輸給一個位於上海的伺服器備份。

編寫這款軟件的是上海廣升技術公司(Adups)。根據該公司的資料,截至2016年9月,廣升的軟件已在7億部手機、汽車和其他智能設備上運行,在150個國家的市場佔有率超過70%。Kryptowire 表示,受影響手機可以在美國主要電商輕易買到,其中甚至包括亞馬遜推出的50美元智能機 BLU R1 HD。

原本對此事一無所知的 BLU 公司很快採取了措施。BLU 公布的資料顯示共有12萬部手機受到影響,BLU 已刪除了這個軟件,廣升也承諾已銷毀從 BLU 用戶處獲取的全部信息。根據廣升提供給 BLU 的解釋,帶有相關功能的軟件版本原本並不為美國手機提供,這款軟件是應中國手機製造商要求、為追蹤用戶行為而編寫。

廣升法律代表林麗麗表示,軟件的目的是幫助客戶識別垃圾短訊和電話,並稱向用戶聲明隱私政策的責任在於電話公司而非廣升。她聲稱「廣升只不過是按照電話分銷商的要求提供功能而已」,而這間公司與中國政府並無瓜葛。美國政府則表示,目前尚不清楚這是基於廣告目的進行的秘密數據挖掘,還是與中國政府的情報網絡有關。

由於廣升並未公布受影響的手機名單,目前用戶無法確認自己的手機是否也植入了監控軟件。不過廣升官網顯示,其客戶包括全球最大的兩家手機製造商中興和華為。Kryptowire 副總裁 Tom Karygiannis 表示,「即使你想知道,你也不可能知道它的存在……有技術能力的人也許能自己解決……但一般的消費者怎麼辦?他們毫無辦法。」

Kryptowire 是美國國土安全部的承包商之一,不過他們之所以注意到這一漏洞,卻是由於一名研究人員在設置海外購得的 BLU 手機時出現異常。在之後一週,這名分析師發現,這部手機持續在向位於上海、註冊在廣升名下的伺服器發送短訊內容。目前 Kryptowire 已將情況上報給美國政府,美國國土安全部發言人 Marsha Catron 表示,國土安全部已獲悉這一問題,正與合作機構共同制定合適的緩解策略。

72 小時
預裝有這款軟件的手機留有後門,能在72小時內將用戶的短信資料傳輸到中國。

軟件後門

軟件後門則指繞過軟件的安全性控制,而從比較隱秘的通道取得對程式或系統存取權的黑客方法。在軟件開發時,設定後門可以方便修改和測試程式中的缺陷。但如果後門被其他人知道(可以是洩密或者被探測到後門),或是在發布軟件之前沒有去除後門,那麼它就對電腦系統安全造成了威脅。 (資料來自維基百科,百科內容以 CC BY-SA 3.0 授權)

來源:紐約時報中文網ArstechnicaAndroidPoliceKrytowire

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧