安全公司Kryptowire发现中国上万手机被装后门
安全公司 Kryptowire是专注于智能移动安全的公司,是美国高级防御研究机构(DARPA)与国土安全局的承包商。 Kryptowire发现在美国销售的低价中国安卓手机中存在后门,固件是由上海广升信息技术有限公司(Shanghai Adups Technology Co. Ltd.)提供,手机自动以JSON格式将用户的大量私人信息发送到位于中国上海广升的服务器上,发送数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等,向广升的大数据服务器发送数据,服务器包括: bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn和bigdata.advmob.cn.固件用于美国亚马逊和百思买售价50美元的BLU R1 HD,该公司向世界上两家最大的手机制造商中兴和华为提供软件。
广升曾在2016年9月声称有7亿激活的用户使用其固件,在150个国家和地区的市场占有率在70%以上。在北京,上海,深圳,东京,新德里,迈阿密都有办公室。
《纽约时报》报道:广升的法律代理,加利福尼亚州帕洛阿尔托的律师林丽丽(Lily Lim)说“这是家犯了错误的私人公司”。林丽丽表示该软件的目的是帮助中国客户识别垃圾短信和电话。她没有给出提这个要求的公司的名字,并表示不知道有多少手机受了影响。林丽丽称,向用户声明隐私政策的责任在电话公司,不在广升。她说,“广升只不过是按照电话分销商的要求提供功能而已。”
安全报告原文:http://www.kryptowire.com/adups_security_analysis.html
《纽约时报》报道:http://cn.nytimes.com/world/20161116/china-phones-software-security
百度,360此类公司都有脸牵手成立安卓绿色联盟的世道,部分厂商干这种事情不奇怪啊。