安全公司 kryptowire 從美國銷售的低端 android 手機固件中發現了一個後門,會将使用者的大量私人資訊發送到提供固件的中國公司伺服器上,發送的資料包括了手機号碼、位置資料、短信内容、呼叫資訊、安裝和使用的應用等等。
提供固件的上海廣升資訊技術有限公司聲稱是失誤,否認為中國政府收集情報,聲稱它是一家私人公司。上海廣升自稱它的軟體運作在全球超過 7 億台裝置上,包括手機、平闆和車載娛樂系統,它的軟體被華為和中興的手機使用,也用于美國亞馬遜和百思買售價 50 美元的 blu r1 hd 廉價 android 智能手機。廣升聲稱軟體的監視功能是為中國市場設計的,以幫助中國手機制造商監視使用者行為,不小心包含在美國銷售的blu裝置中。
後門包含在固件的 ota 更新軟體中,它以 json 格式向廣升的大資料伺服器發送資料,這些伺服器的域名包括了 bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn 和 bigdata.advmob.cn。blu 表示,其 12 萬部手機受到影響,公司已更新了軟體,删除了這個功能。
《紐約時報》報道稱,這個問題顯示了處在整個技術供應鍊中的公司如何能夠在制造商或使用者知情或不知情的情況下損害隐私。它也讓人看到了中國公司——進而延伸到中國政府——可以監視手機的一種方式。多年來,中國政府一直在使用各種方法來過濾和跟蹤網際網路的使用,監視線上對話。政府要求在中國經營的技術公司遵守嚴格的規則。
據廣升提供的檔案,這款軟體是根據一個未指明的中國制造商的要求編寫的,該制造商希望軟體有存儲通話記錄、短信消息和其他資料的能力。廣升說,中國公司使用這些資料提供客戶支援。美國國土安全部發言人 marsha catron 說,國土安全部“最近獲悉了 kryptowire 發現的問題,正在與我們的公共和私營部門合作夥伴一起确定适當的緩解政策。
![申請評分模型拒絕推斷(RI)方法申請評分模型拒絕推斷(RI)方法[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)