中國軟體公司 Adups 被指在 Android 手機防火牆程式留「後門」

評論
評論

據 softpedia 網站 11 月 15 日報導,資訊安全公司 Kryptowire 在一些價格低廉的 Android 手機防火牆軟體上發現「後門」,從事資訊安全工作的承包商表示:「它有一個後門,會每隔 72 小時就把你所有的短訊都發送到中國。」涉嫌的企業為設計該軟體的上海廣升信息技術有限公司(Adups)。美國手機製造商 BLU 產品公司表示,其 12 萬部手機受到影響。

最驚悚的是,紐約時報中文網的報導指出:

「這個問題顯示了處在整個技術供應鏈中的公司,如何能夠在製造商或用戶知情或不知情的情況下侵害隱私。它也讓人看到了中國公司——進而延伸到中國政府——可以監視手機的一種方式。多年來,中國政府一直在使用各種方法來過濾和追蹤網路的使用,監視線上的對話。政府要求在中國經營的科技公司遵守嚴格的規則。」

Kryptowire 則是一家美國國土安全部的承包商,但這家公司馬上跳出來說——對 BLU 手機的分析是獨立於政府合同進行的。

隨後,Adups 的法律代理加州帕洛阿爾託的律師林麗麗馬上澄清:「廣升不隸屬於中國政府部門,也不為中國政府蒐集資料,這僅是一家私人公司的錯誤行為。」據廣升向 BLU 高層所提供解釋這個問題的文件,廣升有意設計了這個軟體,以幫助中國手機製造商監視使用者行為。廣升表示,帶有上述功能的軟體版本原本不是為美國手機寫的。

這起差點提升到「國家安全」層面的事件究竟是怎麼回事?

softpedia 撰文指出,Kryptowire 曾分析表示:

「Kryptowire 已經發現好幾個設備都在蒐集敏感訊息並傳送到第三方,無需徵求用戶的同意,這些設備在美國各大網上零售商都可以買到,如亞馬遜、百思買等,這些設備蒐集的訊息包括短訊文字、通訊錄、通聯記錄、設備唯一識別碼如 IMEI 和 IMSI 。」

「專家發現,這個“後門”收集的訊息包括電話號碼、地理位置、短訊內容、通訊記錄、安裝及使用的應用程式等。」

為什麼會有這個後門出現?文章認為,Adups(廣升)主要還是出於商業及廣告目的,因此蒐集使用者的行為數據。

據廣升提供的文件,這款軟體是根據一個未指明的中國製造商的要求編寫的,該製造商希望軟體有儲存通話記錄、短訊內容和其他資料的功能。廣升說,中國公司使用這些資料提供客戶支援。

林麗麗說,該軟體的目的是幫助中國客戶識別垃圾短訊和電話,不過她沒有給出提這個要求的公司之名字。

目前,尚未可知的是,受廣升該後門影響的手機有多少。但是,softpedia 給出了一則資訊——廣升為華為和中興兩家公司提供防火牆升級支援,潛藏意思讀者可以自己揣摩。

BLU 則表示,公司已更新了軟體,刪除了廣升提供的這項功能。

一位大型網路公司 Android 漏洞研究專家表示:「中國國內應該也有這種情況,是供應商預裝的 APP ,但蒐集短訊的全文、聯絡人名單、通話記錄這些好像沒有確實證據,我們目前分析過,確實會回傳的是手機安裝軟體以及一些手機系統的訊息。」

目前中國的 Android 手機上,類似的問題多嗎?該專家表示:「這個我沒法給你數據,肯定是有的,而且這是預裝軟體,只能 ROOT 卸掉,或者靠廠商進行新系統升級。」

評論