SSL信息
BLU Products是一家成立于2009年的美国手机厂商,以生产低价高质量的安卓机和功能机著称,在拉丁美洲、加勒比海地区拥有很高的市场份额。而在近日,这个“美国驰名商标”销售的多种型号安卓移动设备被发现固件中存在后门,并在未披露或未取得用户同意的情况下向第三方服务器发送个人验证信息(PII)。
安全公司Kryptowire称,这个后门会传输包括短信、联系人名单、通话记录(包括完整的电话号码)、国际移动用户识别码(IMSI)和国际移动设备身份码(IMEI)等用户敏感信息。而BLU手机所搭载的固件可以瞄准指定用户并在其短信中远程匹配定义好的关键字,还可以收集用户应用程序中的信息。甚至绕开安卓许可,以系统权限执行远程命令,远程改写设备程序。
安全研究人员说,存在后门的设备包括BLU R1 HD智能手机和一些通过亚马逊、BestBuy及其他美国在线零售商销售的设备,这些设备的固件可以在未得到用户许可的情况下远程安装应用程序。某些版本的软件还允许细粒度设备本地信息的传送。
这一发现,引起了美国用户不小的恐慌。而原因竟归咎于Made in China的在线固件更新系统。
这款在线固件更新(FOTA)系统是由上海ADUPS技术有限公司提供的。该公司声称其固件被用于来自超过400家领先的移动运营商、半导体销售商和设备制造商的设备上,其在全世界拥有超过7亿活跃用户。
在用户未同意或知晓的情况下,设备和用户信息被定期收集起来,并经过多层加密,然后通过安全网络协议传输到位于上海的服务器上。数据收集和传输是由两个用户无法取消的系统应用(分别是com.ADUPS.fota.sysoper和com.ADUPS.fota)完成的。
“数据收集和传输涉及不同应用程序和文件。短信息和通话记录每72小时传输一次,其他PII数据每24小时传输一次,”Kryptowire说。数据发送到4个域名,这些域全部被解析到属于ADUPS公司的IP地址,因此该公司几乎无疑要为这种可疑行为负责。
实际上,ADUPS已承认他们从手机和短信息中收集了设备和用户信息,包括“型号信息、设备状态、应用程序信息、bin/xbin信息和摘要信息”。该公司声称,收集这些数据是为了确保“更新和服务被发送到正确的设备上”。
此外,这家在线固件更新服务提供商说,他们在传输过程中使用多层加密和HTTPS,以确保数据安全。他们一直“认真对待客户和用户的隐私”,并会解释收集用户短信息和通话记录的原因。
“我们的客户要求ADUPS提供标记垃圾短信和电话的方法,为满足用户需要,我们从广告中筛选出垃圾信息和骚扰电话。我们研究出一种方法,收集用户的短信息,然后在后台通过整合数据分析来识别垃圾信息,以改善手机的用户体验,”该公司说,该应用程序是为了标记那些垃圾信息以及不在用户联系人列表中的骚扰电话号码。
显然,该应用程序的一个包含以上功能的版本在今年6月在不经意间被安装在BLU Product公司产品上。该公司声称BLU曾表示担忧,ADUPS立即取消了BLU设备上的数据收集功能。“那些手机已经通过了Kryptowire的测试,”该公司说。
此外,这家在线固件更新服务提供商还说“与该功能相关任何信息,如短信、联系人或通话日志,都未向其他人透露过,任何从BLU手机上收集的这类信息很快就会被删除。”“与BLU和谷歌一起确保今后BLU手机固件更新不会再次发生同样的情况”。
虽然ADUPS的解释完全确认了数据收集和传输,但并未说明为何有关设备的所有者在事情发生时未被警告。如果ADUPS的固件涉及范围如此广泛,那么超过200个国家和地区的7亿用户的信息每天都可能被收集,这产生了一个巨大的隐私问题。
Kryptowire表示,“由于智能手机普遍存在,而且在很多时候对工作来说是必须的,所以我们的发现向产品供应链的每个环节提出了更多透明度的要求,并增强了用户的知情权。Kryptowire已经开发出能检测那些可能侵犯隐私和安全政策但还不足以被认定为恶意的违规软件的工具。很多时候,这些应用程序是良性的,但其行为却违反了机构、行业和政府的相关政策。”
稿源:SecurityWeek