美国部分Android手机竟将用户隐私数据回传至上海服务器!

简介:

美国出售的Android手机,居然会将用户的个人数据传回到中国上海的服务器?今天美国大量安全媒体就报道了这样一件事,美国人民听来大概是非常惊悚的!Kryptowire安全公司的专家发现美国在售某些品牌的Andriod手机的固件中存在后门,可在未经用户允许的情况下,将个人数据传输至中国服务器,包括短信全文、联系人、通话记录等信息。美国主要受这一固件影响的手机品牌为BLU,目前在Amazon和Best Buy上有售。

顺带一提,发布这份报告的Kryptowire公司,是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。这家公司都出动了,可见问题严重性。

短信和联系人都回传到上海服务器

Kryptowire在报告中说,他们针对固件的代码和网络都进行了分析:从事这种行为监测的乃是某种商业FOTA升级软件系统——那些受影响的Android设备都搭载了这一系统。这套系统就是来自上海广升技术有限公司(Shanghai Adups Technology Co. Ltd)。

这里的Adups上海广升信息技术有限公司成立于2012年,主要业务范围是移动软件管理(MSM)领域和FOTA平台。

“Kryptowire已经发现了多个受影响的Andriod手机型号,其中包括使用最为广泛的 BLU R1 HD”。据报告所说,“这个后门会将用户短息、联系人、通话记录、国际移动用户识别码(IMSI)和国际移动设备识别码(IMEI)等在用户不知情的情况下全部传给中国服务器。”

而且收集的信息还经过了多层加密,比如短信内容采用DES加密,再“通过安全web协议发往位于上海的服务器。此软件和信息手机行为能够绕过了移动反病毒工具的检测——反病毒工具原本就认为预装的软件并非恶意程序,也就列入白名单了。”

报告中提到,上海广升所推的固件进行数据收集和发送的两个系统程序为com.adups.fota.sysoper和com.adups.fota,每隔72小时就会回传短信全文和通话记录,每隔24小时发送其他个人识别信息。

上述数据被发送到以下四个域名:

bigdata.adups.com

bigdata.adsunflower.com

bigdata.adfuture.cn

bigdata.advmob.cn

这几个域名指向同一IP地址221.228.214.101,这个地址即属于上海广升。在数据传输之前,设备还会通过REST API与远程服务器进行check-in登记,确认需要收集的信息。上传至bigdata.adups.com的文件列表如下:

其固件覆盖超过7亿用户

SecurityAffairs在报道中认为,上海广升将这个后门嵌入固件中,主要目的还是广告和商业用途。不过Kryptowire已把这一发现上报了美国政府。美国国土安全部发言人Marsha Catron甚至表示,国土安全部“最近获悉了Kryptowire发现的问题,正在与我们的公共和私营部门合作伙伴一起确定适当的缓解策略。

上海广升其实也为中国的一些巨头公司提供同样的固件更新服务,像是华为和ZTE,不过并未公布更多手机制造商合作伙伴。早在今年7月份,上海广升曾在其官网宣布全球范围内的活跃用户量达到7亿,在超过150个国家和地区逾70%的市场份额,办公室则覆盖了上海、深圳、北京、东京、新德里、迈阿密;此外,其固件已经触及到了超过400家移动运营商、半导体制造商和设备制造商,设备类型则涵盖可穿戴、移动设备、汽车以及电视。

其法人代表在接受纽约时报采访时明确表示他们并没有为政府收集数据。

“广升只是一个不小心犯了错的私企。”这家公司的律师Lily Lim说。

“在中国的技术公司都需要遵循严格的规则来经营。 Lily Lim声明上海广升是不附属于中国政府的。”纽约时报报道。

  • 参考来源:Kryptowire,FB小编孙毛毛编译,转载请注明来自FreeBuf.COM

本文转自d1net(转载)

目录
相关文章
|
10天前
|
安全 搜索推荐 Android开发
Android vs. iOS:解锁智能手机操作系统的奥秘####
【10月更文挑战第21天】 在当今这个数字化时代,智能手机已成为我们生活中不可或缺的伙伴。本文旨在深入浅出地探讨两大主流操作系统——Android与iOS的核心差异、优势及未来趋势,帮助读者更好地理解这两个平台背后的技术哲学和用户体验设计。通过对比分析,揭示它们如何塑造了我们的数字生活方式,并展望未来可能的发展路径。无论您是技术爱好者还是普通用户,这篇文章都将带您走进一个充满创新与可能性的移动世界。 ####
18 3
|
1月前
|
Ubuntu Linux Android开发
termux+anlinux+Rvnc viewer来使安卓手机(平板)变成linux服务器
本文介绍了如何在Android设备上安装Termux和AnLinux,并通过这些工具运行Ubuntu系统和桌面环境。
104 2
termux+anlinux+Rvnc viewer来使安卓手机(平板)变成linux服务器
|
21天前
|
存储 安全 Android开发
F-Droid:尊重自由与隐私的安卓应用商店
F-Droid 是安卓平台上的自由开源应用商店,专为关注隐私和数据安全的用户设计。本文详细介绍了 F-Droid 的特点,包括其对自由和隐私的重视、无广告和无追踪代码的承诺、强大的应用搜索与管理功能,以及对开源社区的支持。用户可以通过 F-Droid 安全地浏览、安装和管理应用程序,并且开发者也可以发布开源应用。未来,F-Droid 将继续提升用户体验,鼓励更多的开发者与用户参与其中,推动自由开源软件的发展。
43 1
|
29天前
|
Web App开发 Android开发
利用firefox调试安卓手机端web
该教程详细介绍如何通过Firefox浏览器实现手机与电脑的远程调试。手机端需安装最新版Firefox,并按指定步骤设置完成;电脑端则需安装15版及以上Firefox。设置完成后,通过工具栏中的“远程调试”选项,输入手机IP地址即可连接。连接确认后,即可使用电脑端Firefox调试器调试手机上的Web信息。注意,调试前手机需提前打开目标网页。
41 2
|
13天前
|
Android开发 iOS开发 UED
安卓与iOS的较量:谁才是智能手机市场的王者?
本文将深入探讨安卓和iOS两大智能手机操作系统之间的竞争关系,分析它们各自的优势和劣势。通过对比两者在市场份额、用户体验、应用生态等方面的表现,我们将揭示出谁才是真正的市场领导者。无论你是安卓粉丝还是iOS忠实用户,这篇文章都将为你提供一些有趣的观点和见解。
|
30天前
|
Android开发 Swift iOS开发
python 基于电脑蓝牙连接获取手机的实时数据
python 基于电脑蓝牙连接获取手机的实时数据
48 0
|
3月前
|
存储 数据可视化 C语言
【C语言】C语言 手机通讯录系统的设计 (源码+数据+论文)【独一无二】
【C语言】C语言 手机通讯录系统的设计 (源码+数据+论文)【独一无二】
|
3月前
|
Android开发
【Azure 环境】记录使用Notification Hub,安卓手机收不到Push通知时的错误,Error_Code 30602 or 30608
【Azure 环境】记录使用Notification Hub,安卓手机收不到Push通知时的错误,Error_Code 30602 or 30608
|
4月前
|
安全 数据安全/隐私保护 Android开发
探索Android 12中的隐私保护特性
随着数字化时代的到来,个人隐私保护成为全球关注的焦点。Android作为广泛使用的操作系统之一,其在最新发布的Android 12版本中引入了多项隐私保护功能。本文将深入探讨这些新特性如何增强用户数据的安全性,以及它们对应用开发者和普通用户的具体影响。
73 3
|
4月前
|
存储 移动开发 Android开发
使用kotlin Jetpack Compose框架开发安卓app, webview中h5如何访问手机存储上传文件
在Kotlin和Jetpack Compose中,集成WebView以支持HTML5页面访问手机存储及上传音频文件涉及关键步骤:1) 添加`READ_EXTERNAL_STORAGE`和`WRITE_EXTERNAL_STORAGE`权限,考虑Android 11的分区存储;2) 配置WebView允许JavaScript和文件访问,启用`javaScriptEnabled`、`allowFileAccess`等设置;3) HTML5页面使用`<input type="file">`让用户选择文件,利用File API;