星期四, 11月 17

美國安全專家揭發:中國公司將 7億台 Android手機個人資訊回傳

據《紐約時報》報導,目前疑似有超過 7 億支 Android 裝置與車載系統由於安裝來自中國一間科技公司的韌體,使得部份個資會在用戶不知情的前提下,將資料回傳到中國的伺服器。


私下上傳用戶個人資訊

報導指出,率先察覺該韌體的人是美國的一名安全專家,也是 Kryptowire 公司的資深副總。他日前隨意購買一支來自 BLU 的廉價手機,然後發現這部安裝了特殊韌體的裝置會私下上傳資料,於是他將相關的情資交給美國國土安全部。

國土安全部的報告表示,這款內建在 Android 裝置的特殊韌體會以每 72 小時一次的頻率把資料傳回上海。而該韌體除了可以遠端更新,傳輸的內容也包括用戶的位置,以及完整的聯絡人清單、通話記錄與簡訊內容。相比一般手機的韌體更新通常會有明顯的通知,也通常會告知隱私權限並且得經過用戶允許才會執行,這款韌體不論是安裝、更新或運作都完全隱蔽,引來了一些質疑。

廣升信息技術

承包撰寫該韌體的公司是上海的「廣升信息技術」(Adups)。儘管不了解背後是由哪個單位提出承攬需求,不過廣升指出該單位的目的是「為了提供客服支援」。廣升的官網也指出它們的核心服務是提供「大數據」軟體,同時在市面上有 7 億台流通的裝置使用它們的程式碼。由於廣升並未提及有多少裝置安裝了這款爭議韌體,因此使用者仍無法確認,究竟自己是不是潛在的受害者。

《紐約時報》指出,如果使用者具有資工專長,還是可以發現不明的韌體運作,不過一般使用者則無從檢視,因為它不會出現在使用者界面。據廣升公司的說法,它們的主力客戶包括了華為中興通訊(ZTE)兩間主流手機公司,儘管抽樣誤差可能很大,但用戶或許可以通過品牌,來簡單判斷自己的 Android 裝置是否內建了不當韌體。


是大數據還是監控?

目前,中國海外的白牌手機、預付話費用戶,較可能會是潛在的受害者。引爆這次事件的 BLU 公司亦確認自家有 12 萬台裝置安裝了這款韌體,但也表示已經推送了更新檔來封鎖它。而 Android 的設計者 Google 則同時要求各家廠商必須移除廣升開發的韌體──當然,除了 Google 已經在 2010 年終止搜尋服務的中國。

值得一提的是,實際上這種「數據搜集」已經成為網路時代的原罪。例如 Google 自己也指出,為了搜集資料來改善服務,它們也會上傳用戶的電話號碼、來電號碼、通話時間、簡訊傳送資訊、系統活動、裝置設定到 Google 伺服器,但與廣升不同的是,Google 應不會上傳完整的簡訊內容,以及用戶的整個聯絡人清單。

Secret Back Door in Some U.S. Phones Sent Data to China, Analysts Say

沒有留言: