Android固件中植入後門 再有中國公司被揭醜

【新唐人2016年11月21日訊】最近美國資安公司Kryptowire揭露,美國市售一些廉價Android手機預裝了一個軟體,會將用戶所發簡訊透過後門發送到中國;21日,再有媒體曝光,一家叫銳嘉科集團的上海公司也在Android固件中植入後門,受影響的智能手機多達數百萬部。

繼上海廣升信息技術公司後門曝光之後,Anubis Networks的研究人員購買了一部BLU Studio G廉價手機進行測試,發現了銳嘉科的後門。

ZAKER網稱,銳嘉科的問題存在幾個方面:

1、OTA更新系統不加密,容易被中間人攻擊,中間人可以偽造更新伺服器響應向用戶設備發送惡意指令。

2、開發者試圖隱藏更新進程。

3、硬編碼3個OTA更新伺服器域名,研究人員發現時只有一個域名被註冊,如果惡意攻擊者注意到的話後果難以想像,研究人員註冊了另外兩個預配置的域名,發現了超過280萬部智能手機存在後門:包括BLU、Infinix Mobility、DOOGEE、LEAGOO、IKU Mobile、Beeline和XOLO等。

報導說,比廣升固件後門好一點的是,該後門目前沒有發現收集用戶私人數據。

文章點評說,和iOS相比,安卓有的時候真的就像光著屁股的操作系統……

11月中旬,《紐約時報》報導說,在美國花50美元,你就可以買到一臺高清晰度、快速數據服務的智慧型手機。但是它還可能有一個秘密功能:每72小時向中國發送你的所有簡訊。

報導說,這個軟體是中國上海廣升信息技術公司(Adups)編寫,會監視用戶去過哪裏、與甚麼人聊過天、簡訊中寫了甚麼,還有個秘密功能。

廣升聲稱,其代碼在全球逾七億臺手機、汽車等智慧裝置上運行。

但美國智慧手機製造商BLU Products表示,該公司有十二萬支手機受影響,已立即採取行動更新軟體,刪除這項功能。

前Jave軟體工程師陳帥說:「在中國大陸現在所有的軟體方面、手機方面,政府方一直在持續的去開發,去研製各項軟體去控制,包括監控與封鎖。那對國外就是各項政府與部門的所謂機密,還有他們一些的人際資源關係網,這些信息的獲得,還有相關機密文件的獲得,那麼對內,那就是各種異議人士的監控與定位、跟蹤,那麼也就是說,變相的在為他們對中國人的迫害提供支持。」

目前在中國,有數億人正在使用安卓系統的手機。

(記者湯園綜合報導/責任編輯:寶來)

相關文章
評論