安全公司 Kryptowire 从美国销售的低端 Android
手机固件中发现了一个后门,会将用户的大量私人信息发送到提供固件的中国公司服务器上,发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。

“存话费,送智能手机,只需 990!”

在周三的BlackHat黑帽大会上,来自上海的广升科技(Adups)再一次被推上风口浪尖。研究人员称,广升至少在两款Android手机中收集用户信息。

提供固件的上海广升信息技术有限公司声称是失误,否认为中国政府收集情报,声称它是一家私人公司。上海广升自称它的软件运行在全球超过
7
亿台设备上,包括手机、平板和车载娱乐系统,它的软件被华为和中兴的手机使用,也用于美国亚马逊和百思买售价
50 美元的 BLU R1 HD 廉价 Android
智能手机。广升声称软件的监视功能是为中国市场设计的,以帮助中国手机制造商监视用户行为,不小心包含在美国销售的BLU设备中。

“预存 500 元话费,手机免费送!”

去年11月,澳门新葡萄京官网首页 ,Kryptowire安全公司的专家发布报告称,美国在售某些品牌的的Andriod手机的固件中存在广升公司的后门,广升为这些手机提供FOTA固件升级解决方案,从而在未经用户允许的情况下,将个人数据传输至其在上海的服务器,包括短信全文、联系人、通话记录等信息。美国主要受这一固件影响的手机品牌为BLU,包括型号R1
HD和Life One
X2,在Amazon和Best
Buy上有售。

后门包含在固件的 OTA 更新软件中,它以 JSON
格式向广升的大数据服务器发送数据,这些服务器的域名包括了
bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn 和
bigdata.advmob.cn。BLU 表示,其 12
万部手机受到影响,公司已更新了软件,删除了这个功能。

“全民狂欢,买就送!”

Kryptowire在报告中说,他们针对固件的代码和网络都进行了分析:从事这种行为监测的是某种商业FOTA升级软件系统——那些受影响的Android设备都搭载了这一系统。这套系统就是来自上海广升技术有限公司(ShanghaiAdupsTechnology
Co. Ltd)。

《纽约时报》报道称,这个问题显示了处在整个技术供应链中的公司如何能够在制造商或用户知情或不知情的情况下损害隐私。它也让人看到了中国公司——进而延伸到中国政府——可以监视手机的一种方式。多年来,中国政府一直在使用各种方法来过滤和跟踪互联网的使用,监视在线对话。政府要求在中国经营的技术公司遵守严格的规则。

你是否曾对某些移动通讯公司打出的此类口号心动不已,剁手不停呢?但如果你知道廉价安卓手机有可能泄露个人数据,还敢贪小便宜买买买吗?

顺带一提,发布这份报告的Kryptowire公司,是由美国国防高级研究计划局
(DARPA)和国土安全部
(DHS)联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。

据广升提供的文件,这款软件是根据一个未指明的中国制造商的要求编写的,该制造商希望软件有存储通话记录、短信消息和其他数据的能力。广升说,中国公司使用这些数据提供客户支持。美国国土安全部发言人
Marsha Catron 说,国土安全部“最近获悉了 Kryptowire
发现的问题,正在与我们的公共和私营部门合作伙伴一起确定适当的缓解策略。”

雷锋网消息,不久前,在美国拉斯维加斯举行的全球最为知名的黑客大会Black
Hat 上,安全公司 Kryptowire 表示他们在美国销售的低端 Android 手机
BLU 固件中发现了一个后门,会将用户的大量私人信息,比如手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等发送到提供固件的中国公司服务器上。

在昨天的BlackHat2017大会上,Kryptowire公司联合创始人,去年曾经参与编写报告的研究员RyanJohnson发表演讲称,今年5月他发现广升公司依然在收集用户数据并将他们传回中国的服务器。

稿源:Solidot奇客

这只是失误,无辜脸~

研究人员表示,这些数据包括机主的完整短信、完整号码的通话记录,还有一些设备标识,包括IMSI、序列号、MAC地址还有IMEI号。

纳尼?这不就是监控!

“我发现的时候,他们在收集短信、通话记录、GPS位置,之后他们不收集了,”Johnson称,“但今年5月,我发现广升又在收集用户信息。”

而收集这些数据的还是中国公司,老美皱紧眉头,觉得事情很不简单。

根据广升官网的宣传,广升提供FOTA技术服务,目前已与700家领先的芯片厂商、方案设计厂商、ODM/OEM厂商、智能硬件品牌厂商达成战略合作伙伴关系。有7亿设备,包括汽车,使用了该公司的软件。

但提供固件的上海广升信息技术有限公司表示自己也很无辜,这就是个失误,而所谓软件的监视功能是为中国市场设计的,帮助中国手机制造商监视用户行为,不小心包含在美国销售的
BLU 设备中。

去年11月被口诛笔伐后,上海广升科技发布了一则道歉声明,称该­定制化的版本将采集短信内容以满足部分国内品­牌客户手机智能短信模块的需求,通过后端的批­量数据分析,智能识别垃圾短信、公众服务号码­并进行短信分类,从而改善手机体验,不小心包­含在美国销售的BLU设备中。但是研究人员称,广升仍然在部分Blu型号的手机上收集信息。在Blu生产的Grand
M手机中,广升收集的信息包括基站ID、安装程序列表、用户的IMSI码和SIM卡序列号。

还监视自己人?

除此之外,研究人员还提到,另一家名叫Cubot的中国手机公司也在使用广升的软件,收集的信息除了基站ID、安装程序列表、用户的IMSI码和SIM卡序列号以外还包括手机浏览器的浏览记录。

反正广升就是咬定自己是一家私人公司,它的软件运行在全球超过 7
亿台设备上,包括手机、平板和车载娱乐系统,这些软件被华为和中兴的手机使用,也用于美国亚马逊和百思买售价
50 美元的 BLU R1 HD廉价 Android 智能手机。

国内读者可能并不了解Cubot和Blu这个品牌,Cubot在欧洲、非洲、南美和亚洲销售手机。而Blu的手机则在美国销售较多,包括百思买和沃尔玛有售。小编搜索后发现,Blu手机是Amazon上销量最高的无锁手机。

你看,我们自己的牌子都在用,怎么会有专门监视这一说呢。中国政府收集情报?没可能的。

更多安全资讯,关注昂楷科技官网!

但任他如何辩驳,已经确定是,这个后门包含在固件的 OTA 更新软件中,它以
JSON 格式向广升的大数据服务器发送数据,这些服务器的域名包括了
bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn 和
bigdata.advmob.cn。

收集信息,到底有几种姿势?

BLU 固件后门事件只是个例,而折射出来的却是对廉价智能手机安全性的担忧。

掘金网的安卓开发工程师涂鸦揭示了手机厂商收集信息的几种可能。

第一,用了高版本的系统,但是故意留下了后门给自己用,比如 BLU 固件中被发现的后门。也就是说,操作系统本身是没有后门的,可能的是
BLU 的开发人员利用了开源的安卓系统,故意给自己写了后门。

“就像一直流传的 Windows
留有后门收集用户信息一样,开发人员自己写代码编译了操作系统,无论背后有什么,也只有天知地知自己知道了。”

第二,用了低版本的系统,明知有问题不处理。

雷锋网了解到,去年三月,谷歌曾发布过一次 root
权限安全漏洞的警告,它们将一个Linux内核漏洞(编号为
CVE-2015-1805 )标记为严重,而这起事件的导火索是有开发者在 Play
商店上架了含有该漏洞代码的软件,导致一些用户被强制获取了 root
从而引发信息泄露问题。

随后,谷歌安全小组封锁了这个能获取 root 权限的高危
BUG,并在开源项目版安卓系统上打上了补丁。

“但当时很多硬件厂商没有给用户提供升级,就可能会存在 root
权限漏洞的问题。黑客如果通过这个漏洞拿到了 root
权限,用户的个人信息就很危险了。”

显然,手机系统版本过低可能造成黑客攻击。

对应国内一票廉价手机,过差的硬件导致无法支持高版本的安卓系统,只能装低版本的系统,其中的漏洞成为诱惑黑客攻击的一块肥肉。

第三,用了低版本的系统,并不清楚有问题,被别人利用了。

这种纯属手机厂商傻白甜,就不多做分析了。

澳门新葡萄京官网首页 1

而针对这次事件,究竟有多少部手机有泄露隐私可能呢?

小编了解到,BLU 系列 12
万部手机受到影响,手机厂商方表示他们已经更新了软件,删除了这个功能。

到底删没删除谁也不能肯定,反正亚马逊已经下线了所有 BLU 所有型号的产品。

BLU 已经被打了一大半,但其他廉价手机呢,是否还在偷摸收集用户信息?

反正,少去蹦迪,把钱花在手机上没什么不好。