当地时间11月15日,美国信息安全技术公司 Kryptowire 披露,发现多款中国生产的安卓(Android)手机预装了用于收集个人隐私信息的软件。这款软件不仅可以收集用户的短信内容、通话记录、通讯录名单和用于识别手机身份的 IMSI 和 IMEI 资料,还可以针对具体用户和短信内容设置关键词,甚至绕过安卓系统收集手机应用上的数据及进行远程更新。而这些数据会在用户毫不知情的情况下传输给一个位于上海的服务器备份。
编写这款软件的是上海广升技术公司(Adups)。根据该公司的资料,截至2016年9月,广升的软件已在7亿部手机、汽车和其他智能设备上运行,在150个国家的市场占有率超过70%。Kryptowire 表示,受影响手机可以在美国主要电商轻易买到,其中甚至包括亚马逊推出的50美元智能机 BLU R1 HD。
原本对此事一无所知的 BLU 公司很快采取了措施。BLU 公布的资料显示共有12万部手机受到影响,BLU 已删除了这个软件,广升也承诺已销毁从 BLU 用户处获取的全部信息。根据广升提供给 BLU 的解释,带有相关功能的软件版本原本并不为美国手机提供,这款软件是应中国手机制造商要求、为追踪用户行为而编写。
广升法律代表林丽丽表示,软件的目的是帮助客户识别垃圾短讯和电话,并称向用户声明隐私政策的责任在于电话公司而非广升。她声称“广升只不过是按照电话分销商的要求提供功能而已”,而这间公司与中国政府并无瓜葛。美国政府则表示,目前尚不清楚这是基于广告目的进行的秘密数据挖掘,还是与中国政府的情报网络有关。
由于广升并未公布受影响的手机名单,目前用户无法确认自己的手机是否也植入了监控软件。不过广升官网显示,其客户包括全球最大的两家手机制造商中兴和华为。Kryptowire 副总裁 Tom Karygiannis 表示,“即使你想知道,你也不可能知道它的存在……有技术能力的人也许能自己解决……但一般的消费者怎么办?他们毫无办法。”
Kryptowire 是美国国土安全部的承包商之一,不过他们之所以注意到这一漏洞,却是由于一名研究人员在设置海外购得的 BLU 手机时出现异常。在之后一周,这名分析师发现,这部手机持续在向位于上海、注册在广升名下的服务器发送短讯内容。目前 Kryptowire 已将情况上报给美国政府,美国国土安全部发言人 Marsha Catron 表示,国土安全部已获悉这一问题,正与合作机构共同制定合适的缓解策略。