研究人員發現某中國厂商生產的手机固件回傳個人信息
安全公司Kryptowire的研究人員發現,安卓手机固件中的一個秘密后門,發送几乎所有個人識別信息到中國的服務器上。包括短信、聯系人列表、通話記錄、電話號碼和設備識別碼(包括IMSI和IMSEI)等信息。該固件的生產者為上海廣升信息技術股份有限公司。
据上海廣升官方网站(www.adups.cn)介紹,其生產的固件在400多家移動、半導体和設備厂商中使用,包括智能手机、可穿戴設備、轎車和電視等,終端激活用戶超過7億。
研究人員表示,當時有技術人員購買了一台裝有此固件的手机,并在旅行時發現了异常网絡流量,經一番分析研究后才得以發現此事。
廣升并未公布采用其固件的手机厂商名單,但至少可以确認其為兩大手机厂商華為和中興的供應商。谷歌方面已經明确要求該公司,從任何運行谷歌商店的安卓手机中移除它的軟件。
該固件用于數据收集和發送的兩個系統程序為com.adups.fota.sysoper和com.adups.fota,每隔72小時發送短信內容和通話記錄,每隔24小時發送所有其他的個人識別信息。普通手机用戶無法禁止這兩個程序的運行。
上述數据被發送到以下四個域名:
bigdata.adups.com
bigdata.adsunflower.com
bigdata.adfuture.cn
bigdata.advmob.cn
這四個域名都解析到同一IP地址221.228.214.101,該地址屬于上海廣升。
轉載自 http://www.weixinyidu.com/n_4034479
◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇ ◆ ◇
美國市場銷售的廉价 Android 手机被發現偷偷向中國傳數据
信息安全公司 Kryptowire 報告稱,在美國市場銷售、預裝在某些 Android 手机上的商業固件會偷偷將高度敏感的數据發回給位于中國的第三方公司。
在用戶不知情、未經用戶同意情況下傳送的數据包括文字信息、通話記錄、通訊錄、應用使用數据,甚至用戶的位置。
受質疑的智能手机包括 BLU R1 HD。這款手机通過亞馬遜等主要零售商銷售,价格約為 50 美元。
目前尚不清楚受影響手机的完整清單。
開發這一固件的公司表示,錯誤地在美國銷售的手机中安裝了該固件。這一固件版本原本提供給一家中國 OEM 厂商,而該厂商在中國國內銷售產品。
Kryptowire 在公告中詳細分析了該固件的代碼和聯网情況:
這些設備主動發送用戶和設備信息,包括完整的文字消息、聯系人列表、含完整號碼的通話記錄,以及 IMSI 和 IMEI 等設備唯一識別碼。隨手机提供的固件,以及隨后的升級允許在未經用戶同意的情況下遠程安裝應用。在某些版本軟件中,設備的具体位置信息也會被發送。固件可根据遠程定義的關鍵詞識別特定用戶和短信。固件還會收集并發送受監控設備上所安裝應用的使用信息,繞開 Android 的許可系統,利用高系統權限去遠程執行命令,甚至遠程對設備進行重新編程。
Kryptowire 表示,最終這些個人信息被發送至上海廣升信息技術股份有限公司(Shanghai Adups Technology Co. Ltd),該公司開發 FOTA 無線升級系統。
廣升信息在网站上表示,該公司擁有 7 億活躍用戶,在 200 多個國家和地區市場份額超過 70%。其 FOTA 系統被集成至超過 400 家移動運營商、半導体厂商和設備厂商的產品,產品涉及手机、可穿戴設備、汽車和電視机。
在接受《紐約時報》采訪時,廣升信息的法律代表表示,該固件功能是應中國一家客戶的要求所開發的,其目的是打擊垃圾短信,提供客戶支持。
廣升信息宣稱,在 Kryptowire 与該公司取得聯系后,已刪除了所有誤收集的數据。BLU CEO 也對《紐約時報》表示,該公司的手机已不再收集數据。不過在該公司發布升級,停止固件的數据收集行為之前,已有約 12 万部手机受到影響。
Kryptowire 指出,這一固件的軟件和行為繞開了移動端反病毒工具的監測,因為反病毒工具假定隨設備發布的軟件不是惡意軟件,并對其進行了白名單處理。
廣升信息收集的數据在傳輸中得到了加密。不過,Kryptowire 在分析中識別了加密密鑰,并解出了其中的內容。
該公司的分析還顯示,根据數据類型的不同,數据傳輸也會有所不同。例如,短信和通話記錄每 72 小時同步,而個人識別信息每 24 小時就會同步。該公司還發現了廣升信息服務器響應時的額外功能,即啟用監控系統,支持對特定電話號碼和短信中關鍵詞的搜索。
Kryptowire 認為,此次事件表明,“在供應鏈的每個階段都需要更好的透明度”。該公司已向美國政府報告了對固件的分析,而政府部門正在与合作伙伴一同,研究“适當的應對策略”。
翻譯:維金