所谓便宜没好货,网络安全研究人员发现许多便宜手机秘密向中国服务器发送数据
亚马逊(Amazon)最畅销的手机是$60的Blu R1 HD。去年十一月,研究人员抓到它偷偷把私人资料发送给中国。
网络安全研究公司Kryptowire创始人Ryan Johnson发现,该机会把用户去过哪里、跟哪些人聊天、短信内容发到位于中国的服务器。当时,写这个间谍程式的上海广升信息技术有限公司(Adups)只是轻描淡写的说这是个错误。Blu公司也声明将两个最畅销的机种—Blu R1 HD和Blu Life One X2—的程式更新了。
这些功能被隐藏在手机的“固件”(firmware)程式里;这种程式告诉手机如何进行操作。普通用户看不到固件的内容,而广升提供的程式让其远程更新固件。通常,当手机制造商更新固件时,它会告诉用户更新了哪些功能,是否触及到个人信息。尽管一般用户不会仔细阅读这种法律文字,但制造商会提供这种声明。然而Kryptowire说,广升的软件并未作有关声明。
在近日的Black Hat Conference上,Johnson表示,同样的问题也存在其他手机上,而且做法更加隐蔽。Johnson说:“他们用更好的版本取代,我从命令和控制通道截获他们的网络流量。”
Johnson五月在Best Buy买了一台Blu Grand M,发现它也会向中国发送数据,其中包含安装的应用程序列表、手机识别码(如MAC地址和IMEI)、电话号码和手机塔代码。
Johnson说,他没有在任何超过$300的手机上找到此间谍软件,因为广升软件主要安装在便宜的设备上。除了Blu的手机,Johnson也在Cubot X16S上发现了数据外泄。
这台售价在$90到$110之间的中国制手机也背著用户发送通话记录、浏览器历史记录和位置数据。Cubot公司没有回应记者的询问。
“看来这问题在低端手机上很普遍,”Johnson说。然而广升不只提供软件给小公司。根据其网站,它也同时提供软件给世界上两家最大的手机制造商–中兴和华为。
日前Johnson再次测试Cubot X16S时,他发现广升已经悄悄删除了设备上的后门程序。