首頁 > 新聞網> 美國新聞>紐約時報驚爆:美部份安卓手機 將用戶資訊傳中國
紐約時報驚爆:美部份安卓手機 將用戶資訊傳中國

[自由時報]

[2016-11-17 15:23:26]

 

國發現一些手機被安裝中國的後門軟體。(圖擷取自網路)

2016-11-16〔即時新聞/綜合報導〕現在的智慧型手機愈來愈便宜,幾乎是人手一支。不過《紐約時報》稱,從事資安的承包商,在部份安卓系統(Android)的手機上,發現一個秘密的功能,每隔72小時就會將手機中的資訊傳到中國。

根據《紐約時報》報導,美國當局稱,尚未明白這是一種為了廣告目的,還是在為中國政府收集情報所設計的功能。受到這個軟體影響最大的,是國際客戶和一次性手機或預付話費手機的用戶。這個軟體是由中國上海廣升(Adups)寫的,該公司稱,軟體已在超過7億部手機、汽車和其他設備上運行。

報導也提到,發現這一漏洞的安全公司Kryptowire表示,上海廣升的軟體將用戶的所有簡訊、聯絡人名單、通話記錄、位置訊息和其它數據傳,送到一台中國伺服器。

Kryptowire的副總裁卡拉吉安尼斯(Tom Karygiannis)指出,程式碼是預裝在手機上,但並未告知用戶有這種監視功能。他說,「即使你想知道,你原本也不可能知道有這個東西。」

以下為紐約時報報導︰

中國公司被指在安卓手機留「後門」

MATT APUZZO, MICHAEL S. SCHMIDT 2016年11月16日

近期,安全承包商發現不少安卓手機被預裝了軟件,用以記錄用戶地址、通訊等信息。

華盛頓——花大約50美元(約合340元人民幣),你就可以買到一部帶有高清顯示和快速數據服務的智能手機。從事信息安全工作的承包商說,這種手機還有一種秘密功能:它有一個後門,會每隔72小時就把你所有的短訊都發送到中國。

從事安全工作的承包商最近在一些安卓(Android)手機上發現了預裝軟件,這種軟件監視用戶去過哪裡,他們與什麼人聊過天,他們在短訊中寫了什麼。美國當局表示,尚不清楚這是一種為了廣告目的而秘密進行的數據挖掘,還是一種中國政府收集情報的努力。

受這種軟件影響最大的是國際客戶、臨時手機用戶以及預付話費的用戶。但還不清楚其影響範圍有多大。這個軟件是中國的上海廣升信息技術有限公司(Adups)編寫的,該公司稱其代碼在超過七億部手機、汽車和其他智能設備上運行。美國手機製造商BLU產品公司表示,其12萬部手機受到影響,公司已更新了軟件,刪除了這個功能。

發現該漏洞的信息安全公司Kryptowire說,廣升的軟件將短訊的全文、聯繫人名單、通話記錄、位置信息,以及其他數據傳輸到一個中國的服務器上去。Kryptowire副總裁湯姆·卡拉吉安尼斯(Tom Karygiannis)說,代碼是預裝在手機上的,但沒有向用戶披露這種監視功能,Kryptowire公司位於維吉尼亞 州的費爾法克斯。「即使你想知道,你也不可能知道有這個東西,」他說。

雖然信息安全專家經常在消費者電子產品中發現漏洞,但這次的情況很特別。這不是一個程序錯誤。相反,據廣升向BLU高管提供的解釋這個問題的文件,廣升有意設計了這個軟件,以幫助中國手機製造商監視用戶行為。廣升表示,帶有上述功能的軟件版本原本不是為美國手機寫的。

「這是家犯了錯誤的私人公司,」加利福尼亞州帕洛阿爾托的律師林麗麗(Lily Lim)說,她是廣升的法律代理。

這個問題顯示了處在整個技術供應鏈中的公司,如何能夠在製造商或用戶知情或不知情的情況下侵害隱私。它也讓人看到了中國公司——進而延伸到中國政府——可以監視手機的一種方式。多年來,中國政府一直在使用各種方法來過濾和跟蹤互聯網的使用,監視在線對話。政府要求在中國經營的技術公司遵守嚴格的規則。林麗麗說,廣升不隸屬於中國政府部門。

這個問題的核心是一種被稱為「固件」的特殊類型軟件,固件告訴手機如何進行操作。廣升提供的代碼讓公司能遠程更新其固件,這是一個用戶基本上看不到的重要功能。通常,當手機製造商更新其固件時,它會告訴用戶做了什麼,也會告訴用戶它是否將使用個人信息。儘管用戶通常對這種很長的法律聲明文本毫不關心,但畢竟告知了用戶。廣升的軟件則未作有關聲明,Kryptowire說。

據廣升的網站,該公司向世界上兩家最大的手機製造商中興和華為提供軟件。這兩家公司都在中國。

位於佛羅里達州的BLU產品公司的首席執行官塞繆爾·奧赫夫-錫安(Samuel Ohev-Zion)說:「這顯然是我們不知道的事情。我們非常迅速地進行了糾正。」

他補充說,廣升已向他保證,從BLU客戶那裡獲得的所有信息都已被銷毀。

據廣升提供的文件,這款軟件是根據一個未指明的中國製造商的要求編寫的,該製造商希望軟件有存儲通話記錄、短訊消息和其他數據的功能。廣升說,中國公司使用這些數據提供客戶支持。

林麗麗說,該軟件的目的是幫助中國客戶識別垃圾短訊和電話。她沒有給出提這個要求的公司的名字,並表示不知道有多少手機受了影響。林麗麗稱,向用戶聲明隱私政策的責任在電話公司,不在廣升。她說,「廣升只不過是按照電話分銷商的要求提供功能而已。」

安卓手機用的軟件是谷歌(Google)開發的,並免費提供給手機製造商按照自己的需要改制。一名谷歌負責人表示,公司曾告訴廣升,讓其把監視功能從運行Google Play商店等服務的手機上刪除。但這不會包括中國的設備,雖然中國有數億人使用安卓手機,但由於審查的原因,谷歌不在中國運營。

由於廣升尚未發佈受影響手機的名單,目前不清楚用戶如何能確定他們的手機是否有問題。「有點技術能力的人也許能自己解決,」Kryptowire副總裁卡拉吉安尼斯說。「但一般的消費者怎麼辦?他們沒有辦法。」

林麗麗說,她不知道用戶怎樣能確定他們是否受到影響。

廣升還提供被稱為「大數據」的服務,幫助公司研究其客戶,「更好地了解他們,了解他們喜歡什麼、他們使用什麼、他們從哪裡來,還有他們的喜好,以為他們提供更好的服務,」公司的網站說。

Kryptowire發現這個問題的過程既帶有偶然性,也受到好奇心的驅使。卡拉吉安尼斯說,公司的一名研究員為一次海外旅行買了一部便宜的BLU R1 HD手機。在設置手機時,這名研究人員注意到不尋常的網路活動。據Kryptowire的報告,在接下來的一週裡,分析師注意到該手機在向位於上海的一個服務器發送短訊內容,該服務器註冊在廣升名下。

Kryptowire已把這一發現上報了美國政府。公司計劃最早在週二公布其報告。

美國國土安全部發言人瑪莎·卡特倫(Marsha Catron)說,國土安全部「最近獲悉了Kryptowire發現的問題,正在與我們的公共和私營部門合作夥伴一起確定適當的緩解策略。」

雖然Kryptowire是一家國土安全部的承包商,但公司對BLU手機的分析是獨立於政府合同進行的。

BLU首席執行官奧赫夫-錫安說,他確信公司已經為客戶解決了這個問題。「如今已經不存在收集這些信息的BLU設備了,」他說。

Adam Goldman對本文有報導貢獻。
翻譯:Cindy Hao
台灣新聞
社區新聞
美國新聞
國際新聞
中國新聞
財經新聞
體育新聞
科技新聞
評論專欄
健康新聞
Advertisements