圖片來源: 

Shanghai Adups Technology

美國專門提供企業行動資訊安全服務的Kryptowire本周二(11/15)指出,他們在多款Android手機上發現來自中國上海廣升信息技術(Shanghai Adups Technology)的韌體空中(FOTA)更新系統含有一後門程式,可定期傳送手機資訊到位於上海的伺服器,從通訊錄、簡訊到手機電話號碼不等。

上海廣升信息技術主要鎖定物聯網裝置(IoT)提供韌體空中下載(Firmware Over The Air)無線升級服務、ADM裝置管理服務,以及大數據分析服務,除了宣稱服務全球逾200個國家、超過7億的物聯網終端設備,在第三方FOTA市佔率達到7成之外,也標榜可針對這7億物聯網設備進行數據管理及分析,涵蓋手機、穿戴裝置與車載裝置等。

Kryptowire分析了廣升韌體的程式碼與連結,發現該韌體會在未經使用者同意下自動蒐集與傳輸裝置上的資訊並在加密之後傳送到位於上海的伺服器,每24小時或72小時會傳遞不同的資訊,由於防毒軟體把它視為裝置的一部份,並未將它列入黑名單而讓它暢行無阻。

該韌體所蒐集與傳遞的資訊包括完整的文字訊息、聯絡人名單、擁有完整電話號碼的通話紀錄、IMSI、IMEI,還可利用關鍵字過濾文字訊息來鎖定特定使用者,也能偵測裝置上所安裝的行動程式,並允許遠端執行命令。

多款採用廣升FOTA的Android手機已透過美國知名電子商務平台銷售,包括Amazon與BestBuy等,其中一款美國手機製造商Blu Products所生產的BLU R1 HD低階手機在Amazon站上只賣50美元。

Kryptowire已將相關研究成果提供給Google、Amazon、廣升及Blu Products。目前Amazon已將該款手機下架,廣升委任律師Lily Lim則向紐約時報說明,該公司與中國政府無關,只是一個私人公司所犯的錯誤,相關功能是為了協助垃圾簡訊及電話的辨識,並不確定有多少裝置受到影響。

Kryptowire表示,隨著智慧型手機愈來愈普及並成為商務必需品的情況下,該研究彰顯了手機供應鏈的各個階段都應該更加透明化,亦應提高消費者的危機意識。


Advertisement

更多 iThome相關內容