http://news.ltn.com.tw/news/focus/paper/1052982
105-11-17
用户发送短信 全传回中国
〔编译卢永山/综合报导〕《纽约时报》报导,美国资安公司Kryptowire揭露,美国市售一些廉价Android手机预装了一个软件,会将用户所发短信透过后门发送到中国;Kryptowire已将此事知会美国国土安全部,该部正在调查,目前并不清楚这是为了广告目的而秘密进行的资料探勘,还是中国政府蒐集情报的行动。
中国广升 刻意设计该软件
报导指出,这个软件是中国上海广升信息技术公司(Adups)编写,会监视用户去过哪里、与什么人聊过天、短信中写了什么,还有个秘密功能,就是每隔七十二小时将用户所发短信透过后门发送到中国。广升声称,其代码在全球逾七亿台手机、汽车等智慧装置上运行。
受这个软件影响最大的是国际客户、用完即丢和预付卡手机用户,目前还不清楚影响范围多大,广升也未公布受影响手机型号名单;但美国智慧手机制造商BLU Products表示,该公司有十二万支手机受影响,已立即采取行动更新软件,删除这项功能。
预装于手机 没先告知用户
Kryptowire表示,广升的这个软件将短信的全文、连络人名单、通话纪录、位置等资料传送到中国的一个服务器。Kryptowire副总裁卡利吉安尼斯(Tom Karygiannis)表示,代码是预装在手机里的,但没有向用户告知这种监视功能。
称帮手机商 监视用户行为
尽管资安专家经常在消费电子产品上发现安全漏洞,但此案非常特别,不是程式出错,根据广升向BLU主管提供的解释文件,广升刻意设计这个软件,以帮助一家中国手机制造商监视用户行为。广升并未透露手机制造商的名称;但根据广升官网,该公司为中国两大手机制造商中兴通讯和华为提供软件。
非资安漏洞 疑为中国情蒐
这个问题显示,处在整个技术供应链中的公司,如何在制造商或用户不知情的情况下侵犯隐私,也让人看到了中国企业、甚至中国政府如何监视手机用户。多年来,中国政府一直用各种手段来过滤和追踪网络使用并监视网络谈话;中国政府还要求在中国营运的科技公司遵守严格规定。广升委任的美国律师林丽丽(Lily Lim)则表示,广升不属于中国政府。
Kryptowire是在偶然情况下发现这个问题。该公司一名研究人员有次在海外旅游时,购买了一支廉价的BLU R1 HD手机,在设定手机时,注意到不寻常的网络活动。在接下来的一周里,该公司的分析师发觉,这支手机向位于上海的一个服务器发送短信内容,而这个服务器登记在广升名下。
Kryptowire已将此事知会美国国土安全部。国土安全部发言人卡特隆(Marsha Catron)表示:“最近获悉Kryptowire发现的问题,正与我们公共和民间部门的伙伴合作,找出适当的解决策略。”