原标题:来自中国的Android韧体遭爆有后门,擅自搜集手机及通联资讯
图片来源:Shanghai Adups Technology
美国专门提供企业行动资讯安全服务的Kryptowire本周二(11/15)指出,他们在多款Android手机上发现来自中国上海广升信息技术(Shanghai Adups Technology)的韧体空中(FOTA)更新系统含有一后门程式,可定期传送手机资讯到位于上海的伺服器,从通讯录、简讯到手机电话号码不等。
上海广升信息技术主要锁定物联网装置(IoT)提供韧体空中下载(Firmware Over The Air)无线升级服务、ADM装置管理服务,以及大数据分析服务,除了宣称服务全球逾200个国家、超过7亿的物联网终端设备,在第三方FOTA市佔率达到7成之外,也标榜可针对这7亿物联网设备进行数据管理及分析,涵盖手机、穿戴装置与车载装置等。
Kryptowire分析了广升韧体的程式码与连结,发现该韧体会在未经使用者同意下自动蒐集与传输装置上的资讯并在加密之后传送到位于上海的伺服器,每24小时或72小时会传递不同的资讯,由于防毒软体把它视为装置的一部份,并未将它列入黑名单而让它畅行无阻。
该韧体所蒐集与传递的资讯包括完整的文字讯息、联络人名单、拥有完整电话号码的通话纪录、IMSI、IMEI,还可利用关键字过滤文字讯息来锁定特定使用者,也能侦测装置上所安装的行动程式,并允许远端执行命令。
多款採用广升FOTA的Android手机已透过美国知名电子商务平台销售,包括Amazon与BestBuy等,其中一款美国手机製造商Blu Products所生产的BLU R1 HD低阶手机在Amazon站上只卖50美元。
Kryptowire已将相关研究成果提供给Google、Amazon、广升及Blu Products。目前Amazon已将该款手机下架,广升委任律师Lily Lim则向纽约时报说明,该公司与中国政府无关,只是一个私人公司所犯的错误,相关功能是为了协助垃圾简讯及电话的辨识,并不确定有多少装置受到影响。
Kryptowire表示,随着智慧型手机愈来愈普及并成为商务必需品的情况下,该研究彰显了手机供应链的各个阶段都应该更加透明化,亦应提高消费者的危机意识。
相关:
新华社越南海防11月11日电(记者白国龙乐艳娜)中国海警46305舰10日起应邀对越南海防市进行为期3天的友好访问。这是中国海警舰船首次出访越南,也是中国海警舰船首次...美日这下惨被打脸:中越海警竟联合巡航中国南海(20
中国突然退出巴铁百亿大工程:竟是因为这事 梦想北京 2016/9/27 16:08:59收藏 分享> 0 0收藏导读:近日,中国机械设备进出口总公司(CMEC)宣布...中国突然退出巴铁百亿大工程:竟是因为这事...(由于)巴基斯坦想从中获益
【中国邀菲渔民赴华培训 菲律宾渔民还来南海捕鱼吗】中国渔业官员日前访问黄岩岛附近的菲律宾渔村的消息,接连两天受到菲律宾媒体关注。据报道,中国愿为...菲律宾GMA新闻网13日报道称,中国农业部渔业渔政管理局副局长
渔民发现潜艇在浅水区几天不动 全艇官兵阵亡2016年11月16日 07:13来源...这艘解放军潜艇上70名官兵全部牺牲,无一幸存。这是新中国潜艇部队历史 ...渔民发现潜艇在浅水区几天不动 全艇官兵阵亡来源:网络 作者:巴中网
“神舟十一号”成功发射 阳光集团为中国航天编织“宇航蓝”
10月17日上午7点30分,“神舟十一号”成功发射,发射前一天,10月16日上午的记者见面会上,航天员景海鹏和陈冬一身帅气的新款航天员秋