晴時多雲

中國藏「後門」 7億Android手機遭監控

美國資安公司踢爆,由中國廣升公司編寫的一個軟體,被預置於某些低階的Android行動裝置中,可將用戶所發的簡訊等資訊透過後門傳送到中國;美國智慧手機製造商BLU Products也是受害者之一,該公司稱已更新軟體,刪除該功能。(圖︰取自網路)

美國資安公司踢爆,由中國廣升公司編寫的一個軟體,被預置於某些低階的Android行動裝置中,可將用戶所發的簡訊等資訊透過後門傳送到中國;美國智慧手機製造商BLU Products也是受害者之一,該公司稱已更新軟體,刪除該功能。(圖︰取自網路)

2016/11/17 06:00

用戶發送簡訊 全傳回中國

〔編譯盧永山/綜合報導〕《紐約時報》報導,美國資安公司Kryptowire揭露,美國市售一些廉價Android手機預裝了一個軟體,會將用戶所發簡訊透過後門發送到中國;Kryptowire已將此事知會美國國土安全部,該部正在調查,目前並不清楚這是為了廣告目的而秘密進行的資料探勘,還是中國政府蒐集情報的行動。

中國廣升 刻意設計該軟體

報導指出,這個軟體是中國上海廣升信息技術公司(Adups)編寫,會監視用戶去過哪裡、與什麼人聊過天、簡訊中寫了什麼,還有個秘密功能,就是每隔七十二小時將用戶所發簡訊透過後門發送到中國。廣升聲稱,其代碼在全球逾七億台手機、汽車等智慧裝置上運行。

受這個軟體影響最大的是國際客戶、用完即丟和預付卡手機用戶,目前還不清楚影響範圍多大,廣升也未公布受影響手機型號名單;但美國智慧手機製造商BLU Products表示,該公司有十二萬支手機受影響,已立即採取行動更新軟體,刪除這項功能。

預裝於手機 沒先告知用戶

Kryptowire表示,廣升的這個軟體將簡訊的全文、連絡人名單、通話紀錄、位置等資料傳送到中國的一個伺服器。Kryptowire副總裁卡利吉安尼斯(Tom Karygiannis)表示,代碼是預裝在手機裡的,但沒有向用戶告知這種監視功能。

稱幫手機商 監視用戶行為

儘管資安專家經常在消費電子產品上發現安全漏洞,但此案非常特別,不是程式出錯,根據廣升向BLU主管提供的解釋文件,廣升刻意設計這個軟體,以幫助一家中國手機製造商監視用戶行為。廣升並未透露手機製造商的名稱;但根據廣升官網,該公司為中國兩大手機製造商中興通訊和華為提供軟體。

非資安漏洞 疑為中國情蒐

這個問題顯示,處在整個技術供應鏈中的公司,如何在製造商或用戶不知情的情況下侵犯隱私,也讓人看到了中國企業、甚至中國政府如何監視手機用戶。多年來,中國政府一直用各種手段來過濾和追蹤網路使用並監視網路談話;中國政府還要求在中國營運的科技公司遵守嚴格規定。廣升委任的美國律師林麗麗(Lily Lim)則表示,廣升不屬於中國政府。

Kryptowire是在偶然情況下發現這個問題。該公司一名研究人員有次在海外旅遊時,購買了一支廉價的BLU R1 HD手機,在設定手機時,注意到不尋常的網路活動。在接下來的一週裡,該公司的分析師發覺,這支手機向位於上海的一個伺服器發送簡訊內容,而這個伺服器登記在廣升名下。

Kryptowire已將此事知會美國國土安全部。國土安全部發言人卡特隆(Marsha Catron)表示:「最近獲悉Kryptowire發現的問題,正與我們公共和民間部門的夥伴合作,找出適當的解決策略。」