中國藏「後門」 7億Android手機遭監控 - 手機討論

http://news.ltn.com.tw/news/focus/paper/1052982

105-11-17
用戶發送簡訊 全傳回中國
〔編譯盧永山／綜合報導〕《紐約時報》報導，美國資安公司Kryptowire揭露，美國市售一些廉價Android手機預裝了一個軟體，會將用戶所發簡訊透過後門發送到中國；Kryptowire已將此事知會美國國土安全部，該部正在調查，目前並不清楚這是為了廣告目的而秘密進行的資料探勘，還是中國政府蒐集情報的行動。

中國廣升 刻意設計該軟體
報導指出，這個軟體是中國上海廣升信息技術公司（Adups）編寫，會監視用戶去過哪裡、與什麼人聊過天、簡訊中寫了什麼，還有個秘密功能，就是每隔七十二小時將用戶所發簡訊透過後門發送到中國。廣升聲稱，其代碼在全球逾七億台手機、汽車等智慧裝置上運行。

受這個軟體影響最大的是國際客戶、用完即丟和預付卡手機用戶，目前還不清楚影響範圍多大，廣升也未公布受影響手機型號名單；但美國智慧手機製造商BLU Products表示，該公司有十二萬支手機受影響，已立即採取行動更新軟體，刪除這項功能。

預裝於手機 沒先告知用戶
Kryptowire表示，廣升的這個軟體將簡訊的全文、連絡人名單、通話紀錄、位置等資料傳送到中國的一個伺服器。Kryptowire副總裁卡利吉安尼斯（Tom Karygiannis）表示，代碼是預裝在手機裡的，但沒有向用戶告知這種監視功能。

稱幫手機商 監視用戶行為
儘管資安專家經常在消費電子產品上發現安全漏洞，但此案非常特別，不是程式出錯，根據廣升向BLU主管提供的解釋文件，廣升刻意設計這個軟體，以幫助一家中國手機製造商監視用戶行為。廣升並未透露手機製造商的名稱；但根據廣升官網，該公司為中國兩大手機製造商中興通訊和華為提供軟體。

非資安漏洞 疑為中國情蒐
這個問題顯示，處在整個技術供應鏈中的公司，如何在製造商或用戶不知情的情況下侵犯隱私，也讓人看到了中國企業、甚至中國政府如何監視手機用戶。多年來，中國政府一直用各種手段來過濾和追蹤網路使用並監視網路談話；中國政府還要求在中國營運的科技公司遵守嚴格規定。廣升委任的美國律師林麗麗（Lily Lim）則表示，廣升不屬於中國政府。

Kryptowire是在偶然情況下發現這個問題。該公司一名研究人員有次在海外旅遊時，購買了一支廉價的BLU R1 HD手機，在設定手機時，注意到不尋常的網路活動。在接下來的一週裡，該公司的分析師發覺，這支手機向位於上海的一個伺服器發送簡訊內容，而這個伺服器登記在廣升名下。

Kryptowire已將此事知會美國國土安全部。國土安全部發言人卡特隆（Marsha Catron）表示：「最近獲悉Kryptowire發現的問題，正與我們公共和民間部門的夥伴合作，找出適當的解決策略。」

--
貪小便宜購買使用中國品牌的手機用戶該醒醒了，這已經不是第一次爆出中國手機走後門的新聞了，不過，一般民眾非重要人士，就算資料後送中國也不會對國家造成影響，所以，還是以自己的錢包為重，看不到的資訊安全就管他的，至少比會爆炸的某國手機要安全多了不是嗎？

--
https://goo.gl/PwIESX

-----
Sent from JPTT on my HTC_M9u.

--