美國(guó)出售的Android手機(jī)，居然會(huì)將用戶的個(gè)人數(shù)據(jù)傳回到中國(guó)上海的服務(wù)器？今天美國(guó)大量安全媒體就報(bào)道了這樣一件事，美國(guó)人民聽(tīng)來(lái)大概是非常驚悚的！Kryptowire安全公司的專家發(fā)現(xiàn)美國(guó)在售某些品牌的Andriod手機(jī)的固件中存在后門，可在未經(jīng)用戶允許的情況下，將個(gè)人數(shù)據(jù)傳輸至中國(guó)服務(wù)器，包括短信全文、聯(lián)系人、通話記錄等信息。美國(guó)主要受這一固件影響的手機(jī)品牌為BLU，目前在Amazon和Best Buy上有售。

順帶一提，發(fā)布這份報(bào)告的Kryptowire公司，是由美國(guó)國(guó)防高級(jí)研究計(jì)劃局 (DARPA) 和國(guó)土安全部 (DHS) 聯(lián)合投資的公司，主要為美國(guó)國(guó)防、軍事、情報(bào)機(jī)構(gòu)提供移動(dòng)應(yīng)用程序的安全性分析、企業(yè)級(jí)移動(dòng)設(shè)備安全解決方案等服務(wù)。這家公司都出動(dòng)了，可見(jiàn)問(wèn)題嚴(yán)重性。

短信和聯(lián)系人都回傳到上海服務(wù)器

Kryptowire在報(bào)告中說(shuō)，他們針對(duì)固件的代碼和網(wǎng)絡(luò)都進(jìn)行了分析：從事這種行為監(jiān)測(cè)的乃是某種商業(yè)FOTA升級(jí)軟件系統(tǒng)——那些受影響的Android設(shè)備都搭載了這一系統(tǒng)。這套系統(tǒng)就是來(lái)自上海廣升技術(shù)有限公司（Shanghai Adups Technology Co. Ltd）。

這里的Adups上海廣升信息技術(shù)有限公司成立于2012年，主要業(yè)務(wù)范圍是移動(dòng)軟件管理(MSM)領(lǐng)域和FOTA平臺(tái)。

“Kryptowire已經(jīng)發(fā)現(xiàn)了多個(gè)受影響的Andriod手機(jī)型號(hào)，其中包括使用最為廣泛的 BLU R1 HD”。據(jù)報(bào)告所說(shuō)，“這個(gè)后門會(huì)將用戶短息、聯(lián)系人、通話記錄、國(guó)際移動(dòng)用戶識(shí)別碼（IMSI）和國(guó)際移動(dòng)設(shè)備識(shí)別碼（IMEI）等在用戶不知情的情況下全部傳給中國(guó)服務(wù)器。”

而且收集的信息還經(jīng)過(guò)了多層加密，比如短信內(nèi)容采用DES加密，再“通過(guò)安全web協(xié)議發(fā)往位于上海的服務(wù)器。此軟件和信息手機(jī)行為能夠繞過(guò)了移動(dòng)反病毒工具的檢測(cè)——反病毒工具原本就認(rèn)為預(yù)裝的軟件并非惡意程序，也就列入白名單了。”

報(bào)告中提到，上海廣升所推的固件進(jìn)行數(shù)據(jù)收集和發(fā)送的兩個(gè)系統(tǒng)程序?yàn)閏om.adups.fota.sysoper和com.adups.fota，每隔72小時(shí)就會(huì)回傳短信全文和通話記錄，每隔24小時(shí)發(fā)送其他個(gè)人識(shí)別信息。

上述數(shù)據(jù)被發(fā)送到以下四個(gè)域名：

bigdata.adups.com

bigdata.adsunflower.com

bigdata.adfuture.cn

bigdata.advmob.cn

這幾個(gè)域名指向同一IP地址221.228.214.101，這個(gè)地址即屬于上海廣升。在數(shù)據(jù)傳輸之前，設(shè)備還會(huì)通過(guò)REST API與遠(yuǎn)程服務(wù)器進(jìn)行check-in登記，確認(rèn)需要收集的信息。上傳至bigdata.adups.com的文件列表如下：

其固件覆蓋超過(guò)7億用戶

SecurityAffairs在報(bào)道中認(rèn)為，上海廣升將這個(gè)后門嵌入固件中，主要目的還是廣告和商業(yè)用途。不過(guò)Kryptowire已把這一發(fā)現(xiàn)上報(bào)了美國(guó)政府。美國(guó)國(guó)土安全部發(fā)言人Marsha Catron甚至表示，國(guó)土安全部“最近獲悉了Kryptowire發(fā)現(xiàn)的問(wèn)題，正在與我們的公共和私營(yíng)部門合作伙伴一起確定適當(dāng)?shù)木徑獠呗浴?/p>

上海廣升其實(shí)也為中國(guó)的一些巨頭公司提供同樣的固件更新服務(wù)，像是華為和ZTE，不過(guò)并未公布更多手機(jī)制造商合作伙伴。早在今年7月份，上海廣升曾在其官網(wǎng)宣布全球范圍內(nèi)的活躍用戶量達(dá)到7億，在超過(guò)150個(gè)國(guó)家和地區(qū)逾70%的市場(chǎng)份額，辦公室則覆蓋了上海、深圳、北京、東京、新德里、邁阿密；此外，其固件已經(jīng)觸及到了超過(guò)400家移動(dòng)運(yùn)營(yíng)商、半導(dǎo)體制造商和設(shè)備制造商，設(shè)備類型則涵蓋可穿戴、移動(dòng)設(shè)備、汽車以及電視。

其法人代表在接受紐約時(shí)報(bào)采訪時(shí)明確表示他們并沒(méi)有為政府收集數(shù)據(jù)。

“廣升只是一個(gè)不小心犯了錯(cuò)的私企。”這家公司的律師Lily Lim說(shuō)。

“在中國(guó)的技術(shù)公司都需要遵循嚴(yán)格的規(guī)則來(lái)經(jīng)營(yíng)。 Lily Lim聲明上海廣升是不附屬于中國(guó)政府的。”紐約時(shí)報(bào)報(bào)道。

• 參考來(lái)源：Kryptowire，FB小編孫毛毛編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM

本文轉(zhuǎn)自d1net（轉(zhuǎn)載）

總結(jié)

以上是生活随笔為你收集整理的美国部分Android手机竟将用户隐私数据回传至上海服务器！的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。