研究人员发现某中国厂商生产的手机固件回传个人信息
安全公司Kryptowire的研究人员发现,安卓手机固件中的一个秘密后门,发送几乎所有个人识别信息到中国的服务器上。包括短信、联系人列表、通话记录、电话号码和设备识别码(包括IMSI和IMSEI)等信息。该固件的生产者为上海广升信息技术股份有限公司。
据上海广升官方网站(www.adups.cn)介绍,其生产的固件在400多家移动、半导体和设备厂商中使用,包括智能手机、可穿戴设备、轿车和电视等,终端激活用户超过7亿。
研究人员表示,当时有技术人员购买了一台装有此固件的手机,并在旅行时发现了异常网络流量,经一番分析研究后才得以发现此事。
广升并未公布采用其固件的手机厂商名单,但至少可以确认其为两大手机厂商华为和中兴的供应商。谷歌方面已经明确要求该公司,从任何运行谷歌商店的安卓手机中移除它的软件。
该固件用于数据收集和发送的两个系统程序为com.adups.fota.sysoper和com.adups.fota,每隔72小时发送短信内容和通话记录,每隔24小时发送所有其他的个人识别信息。普通手机用户无法禁止这两个程序的运行。
上述数据被发送到以下四个域名:
bigdata.adups.com
bigdata.adsunflower.com
bigdata.adfuture.cn
bigdata.advmob.cn
这四个域名都解析到同一IP地址221.228.214.101,该地址属于上海广升。
转载自 http://www.weixinyidu.com/n_4034479
◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇
美国市场销售的廉价 Android 手机被发现偷偷向中国传数据
信息安全公司 Kryptowire 报告称,在美国市场销售、预装在某些 Android 手机上的商业固件会偷偷将高度敏感的数据发回给位于中国的第三方公司。
在用户不知情、未经用户同意情况下传送的数据包括文字信息、通话记录、通讯录、应用使用数据,甚至用户的位置。
受质疑的智能手机包括 BLU R1 HD。这款手机通过亚马逊等主要零售商销售,价格约为 50 美元。
目前尚不清楚受影响手机的完整清单。
开发这一固件的公司表示,错误地在美国销售的手机中安装了该固件。这一固件版本原本提供给一家中国 OEM 厂商,而该厂商在中国国内销售产品。
Kryptowire 在公告中详细分析了该固件的代码和联网情况:
这些设备主动发送用户和设备信息,包括完整的文字消息、联系人列表、含完整号码的通话记录,以及 IMSI 和 IMEI 等设备唯一识别码。随手机提供的固件,以及随后的升级允许在未经用户同意的情况下远程安装应用。在某些版本软件中,设备的具体位置信息也会被发送。固件可根据远程定义的关键词识别特定用户和短信。固件还会收集并发送受监控设备上所安装应用的使用信息,绕开 Android 的许可系统,利用高系统权限去远程执行命令,甚至远程对设备进行重新编程。
Kryptowire 表示,最终这些个人信息被发送至上海广升信息技术股份有限公司(Shanghai Adups Technology Co. Ltd),该公司开发 FOTA 无线升级系统。
广升信息在网站上表示,该公司拥有 7 亿活跃用户,在 200 多个国家和地区市场份额超过 70%。其 FOTA 系统被集成至超过 400 家移动运营商、半导体厂商和设备厂商的产品,产品涉及手机、可穿戴设备、汽车和电视机。
在接受《纽约时报》采访时,广升信息的法律代表表示,该固件功能是应中国一家客户的要求所开发的,其目的是打击垃圾短信,提供客户支持。
广升信息宣称,在 Kryptowire 与该公司取得联系后,已删除了所有误收集的数据。BLU CEO 也对《纽约时报》表示,该公司的手机已不再收集数据。不过在该公司发布升级,停止固件的数据收集行为之前,已有约 12 万部手机受到影响。
Kryptowire 指出,这一固件的软件和行为绕开了移动端反病毒工具的监测,因为反病毒工具假定随设备发布的软件不是恶意软件,并对其进行了白名单处理。
广升信息收集的数据在传输中得到了加密。不过,Kryptowire 在分析中识别了加密密钥,并解出了其中的内容。
该公司的分析还显示,根据数据类型的不同,数据传输也会有所不同。例如,短信和通话记录每 72 小时同步,而个人识别信息每 24 小时就会同步。该公司还发现了广升信息服务器响应时的额外功能,即启用监控系统,支持对特定电话号码和短信中关键词的搜索。
Kryptowire 认为,此次事件表明,“在供应链的每个阶段都需要更好的透明度”。该公司已向美国政府报告了对固件的分析,而政府部门正在与合作伙伴一同,研究“适当的应对策略”。
翻译:维金