2016年11月15日 星期二

中國公司被指在安卓手機留「後門」Secret Back Door in Some U.S. Phones Sent Data to China, Analysts Say

中國公司被指在安卓手機留「後門」

華盛頓——花大約50美元(約合340元人民幣),你就可以買到一部帶有高清顯示和快速數據服務的智能手機。從事信息安全工作的承包商說,這種手機還有一種秘密功能:它有一個後門,會每隔72小時就把你所有的短訊都發送到中國。
從事安全工作的承包商最近在一些安卓(Android)手機上發現了預裝軟件,這種軟件監視用戶去過哪裡,他們與什麼人聊過天,他們在短訊中寫了什麼。美國當局表示,尚不清楚這是一種為了廣告目的而秘密進行的數據挖掘,還是一種中國政府收集情報的努力。
受這種軟件影響最大的是國際客戶、臨時手機用戶以及預付話費的用戶。但還不清楚其影響範圍有多大。這個軟件是中國的上海廣升信息技術有限公司(Adups)編寫的,該公司稱其代碼在超過七億部手機、汽車和其他智能設備上運行。美國手機製造商BLU產品公司表示,其12萬部手機受到影響,公司已更新了軟件,刪除了這個功能。
發現該漏洞的信息安全公司Kryptowire說,廣升的軟件將短訊的全文、聯繫人名單、通話記錄、位置信息,以及其他數據傳輸到一個中國的服務器上去。Kryptowire副總裁湯姆·卡拉吉安尼斯(Tom Karygiannis)說,代碼是預裝在手機上的,但沒有向用戶披露這種監視功能,Kryptowire公司位於維吉尼亞 州的費爾法克斯。「即使你想知道,你也不可能知道有這個東西,」他說。
雖然信息安全專家經常在消費者電子產品中發現漏洞,但這次的情況很特別。這不是一個程序錯誤。相反,據廣升向BLU高管提供的解釋這個問題的文件,廣升有意設計了這個軟件,以幫助中國手機製造商監視用戶行為。廣升表示,帶有上述功能的軟件版本原本不是為美國手機寫的。
「這是家犯了錯誤的私人公司,」加利福尼亞州帕洛阿爾托的律師林麗麗(Lily Lim)說,她是廣升的法律代理。
這個問題顯示了處在整個技術供應鏈中的公司,如何能夠在製造商或用戶知情或不知情的情況下侵害隱私。它也讓人看到了中國公司——進而延伸到中國政府——可以監視手機的一種方式。多年來,中國政府一直在使用各種方法來過濾和跟蹤互聯網的使用,監視在線對話。政府要求在中國經營的技術公司遵守嚴格的規則。林麗麗說,廣升不隸屬於中國政府部門。
這個問題的核心是一種被稱為「固件」的特殊類型軟件,固件告訴手機如何進行操作。廣升提供的代碼讓公司能遠程更新其固件,這是一個用戶基本上看不到的重要功能。通常,當手機製造商更新其固件時,它會告訴用戶做了什麼,也會告訴用戶它是否將使用個人信息。儘管用戶通常對這種很長的法律聲明文本毫不關心,但畢竟告知了用戶。廣升的軟件則未作有關聲明,Kryptowire說。
據廣升的網站,該公司向世界上兩家最大的手機製造商中興和華為提供軟件。這兩家公司都在中國。
位於佛羅里達州的BLU產品公司的首席執行官塞繆爾·奧赫夫-錫安(Samuel Ohev-Zion)說:「這顯然是我們不知道的事情。我們非常迅速地進行了糾正。」
他補充說,廣升已向他保證,從BLU客戶那裡獲得的所有信息都已被銷毀。
據廣升提供的文件,這款軟件是根據一個未指明的中國製造商的要求編寫的,該製造商希望軟件有存儲通話記錄、短訊消息和其他數據的功能。廣升說,中國公司使用這些數據提供客戶支持。
林麗麗說,該軟件的目的是幫助中國客戶識別垃圾短訊和電話。她沒有給出提這個要求的公司的名字,並表示不知道有多少手機受了影響。林麗麗稱,向用戶聲明隱私政策的責任在電話公司,不在廣升。她說,「廣升只不過是按照電話分銷商的要求提供功能而已。」
安卓手機用的軟件是谷歌(Google)開發的,並免費提供給手機製造商按照自己的需要改制。一名谷歌負責人表示,公司曾告訴廣升,讓其把監視功能從運行Google Play商店等服務的手機上刪除。但這不會包括中國的設備,雖然中國有數億人使用安卓手機,但由於審查的原因,谷歌不在中國運營。
由於廣升尚未發佈受影響手機的名單,目前不清楚用戶如何能確定他們的手機是否有問題。「有點技術能力的人也許能自己解決,」Kryptowire副總裁卡拉吉安尼斯說。「但一般的消費者怎麼辦?他們沒有辦法。」
林麗麗說,她不知道用戶怎樣能確定他們是否受到影響。
廣升還提供被稱為「大數據」的服務,幫助公司研究其客戶,「更好地了解他們,了解他們喜歡什麼、他們使用什麼、他們從哪裡來,還有他們的喜好,以為他們提供更好的服務,」公司的網站說。
Kryptowire發現這個問題的過程既帶有偶然性,也受到好奇心的驅使。卡拉吉安尼斯說,公司的一名研究員為一次海外旅行買了一部便宜的BLU R1 HD手機。在設置手機時,這名研究人員注意到不尋常的網路活動。據Kryptowire的報告,在接下來的一週裡,分析師注意到該手機在向位於上海的一個服務器發送短訊內容,該服務器註冊在廣升名下。
Kryptowire已把這一發現上報了美國政府。公司計劃最早在週二公布其報告。
美國國土安全部發言人瑪莎·卡特倫(Marsha Catron)說,國土安全部「最近獲悉了Kryptowire發現的問題,正在與我們的公共和私營部門合作夥伴一起確定適當的緩解策略。」
雖然Kryptowire是一家國土安全部的承包商,但公司對BLU手機的分析是獨立於政府合同進行的。
BLU首席執行官奧赫夫-錫安說,他確信公司已經為客戶解決了這個問題。「如今已經不存在收集這些信息的BLU設備了,」他說。
Adam Goldman對本文有報導貢獻。
翻譯:Cindy Hao
點擊查看本文英文版。

沒有留言:

張貼留言