【硅谷网讯】 近期,安全承包商发现不少安卓手机被预装了软件,用以记录用户地址、通讯等信息。在华盛顿——花大约50美元(约合340元人民币),你就可以买到一部带有高清显示和快速数据服务的智能手机。从事信息安全工作的承包商说,这种手机还有一种秘密功能:它有一个后门,会每隔72小时就把你所有的短信都发送到中国。
从事安全工作的承包商最近在一些安卓手机上发现了预装软件,这种软件监视用户去过哪里,他们与什么人聊过天,他们在短信中写了什么。
受这种软件影响最大的是国际客户、临时手机用户以及预付话费的用户。但还不清楚其影响范围有多大。这个软件是中国的上海广升信息技术有限公司编写的,该公司称其代码在超过七亿部手机、汽车和其他智能设备上运行。 美国手机制造商BLU产品公司表示,其12万部手机受到影响,公司已更新了软件,删除了这个功能。
发现该漏洞的信息安全公司Kryptowire说,广升的软件将短信的全文、联系人名单、通话记录、位置信息,以及其他数据传输到一个中国的服务器上去。 Kryptowire副总裁汤姆·卡拉吉安尼斯说,代码是预装在手机上的,但没有向用户披露这种监视功能,Kryptowire公司位于弗吉尼亚州的费尔法克斯。“即使你想知道,你也不可能知道有这个东西,”他说。
虽然信息安全专家经常在消费者电子产品中发现漏洞,但这次的情况很特别。这不是一个程序错误。相反,据广升向BLU高管提供的解释这个问题的文件,广升有意设计了这个软件,以帮助中国手机制造商监视用户行为。广升表示,带有上述功能的软件版本原本不是为美国手机写的。
“这是家犯了错误的私人公司,”加利福尼亚州帕洛阿尔托的律师林丽丽说,她是广升的法律代理。
这个问题显示了处在整个技术供应链中的公司,如何能够在制造商或用户知情或不知情的情况下侵害隐私。
这个问题的核心是一种被称为“固件”的特殊类型软件,固件告诉手机如何进行操作。广升提供的代码让公司能远程更新其固件,这是一个用户基本上看不到的重要功能。通常,当手机制造商更新其固件时,它会告诉用户做了什么,也会告诉用户它是否将使用个人信息。尽管用户通常对这种很长的法律声明文本毫不关心,但毕竟告知了用户。广升的软件则未作有关声明,Kryptowire说。
据广升的网站,该公司向世界上两家最大的手机制造商中兴和华为提供软件。这两家公司都在中国。
位于佛罗里达州的BLU产品公司的首席执行官塞缪尔·奥赫夫-锡安说:“这显然是我们不知道的事情。我们非常迅速地进行了纠正。”
他补充说,广升已向他保证,从BLU客户那里获得的所有信息都已被销毁。
据广升提供的文件,这款软件是根据一个未指明的中国制造商的要求编写的,该制造商希望软件有存储通话记录、短信消息和其他数据的功能。广升说,中国公司使用这些数据提供客户支持。
林丽丽说,该软件的目的是帮助中国客户识别垃圾短信和电话。她没有给出提这个要求的公司的名字,并表示不知道有多少手机受了影响。林丽丽称,向用户声明隐私政策的责任在电话公司,不在广升。她说,“广升只不过是按照电话分销商的要求提供功能而已。”
安卓手机用的软件是谷歌开发的,并免费提供给手机制造商按照自己的需要改制。一名谷歌负责人表示,公司曾告诉广升,让其把监视功能从运行Google Play商店等服务的手机上删除。但这不会包括中国的设备,虽然中国有数亿人使用安卓手机,但由于审查的原因,谷歌不在中国运营。
由于广升尚未发布受影响手机的名单,目前不清楚用户如何能确定他们的手机是否有问题。“有点技术能力的人也许能自己解决,”Kryptowire副总裁卡拉吉安尼斯说。“但一般的消费者怎么办?他们没有办法。”
林丽丽说,她不知道用户怎样能确定他们是否受到影响。
广升还提供被称为“大数据”的服务,帮助公司研究其客户,“更好地了解他们,了解他们喜欢什么、他们使用什么、他们从哪里来,还有他们的喜好,以为他们提供更好的服务,”公司的网站说。
Kryptowire发现这个问题的过程既带有偶然性,也受到好奇心的驱使。卡拉吉安尼斯说,公司的一名研究员为一次海外旅行买了一部便宜的BLU R1 HD手机。在设置手机时,这名研究人员注意到不寻常的网络活动。据Kryptowire的报告,在接下来的一周里,分析师注意到该手机在向位于上海的一个服务器发送短信内容,该服务器注册在广升名下。【来源:公号“电脑报必修客户端”,有删减】
扩展阅读
系统安全问题一直是Android系统的硬伤。在过去一年当中,已经发现有近10亿用户受到了Android系统漏洞的困扰。为此,谷歌公司每月都会发布新的更新补丁来进行修补。不过,这样的努力似乎在一些软件和设备厂商的做法面前变得苍白无力。
安全公司Kryptowire最新发布研究报告指出,美国智能手机制造商BLU旗下的一些Android机型中被发现有来自上海Adups Technology开发的预加载应用程序,该应用程序会每72小时将用户数据(如文本消息,位置信息和通话记录)传输到位于中国的服务器。
据Adups Technology公司官网介绍,该公司是目前世界最大的空中固件(FOTA)提供商之一,用户数量接近7亿,目前尚不清楚该公司收集这些用户资料是否是出于广告投放或者是受到第三方委托的其他目的。
据Adups Technology在美国的代表解释,从BLU生产的收集设备中收集用户个人数据只是为了用来标记垃圾邮件、诈骗电话的发送者身份。但BLU方面出于谨慎考虑,还是快速删除了可能收集用户个人信息的第三方软件应用,并提醒用户注意一些留有后门的第三方软件应用。【来源:环球网】
|
