安全公司 Kryptowire 从美国销售的低端 Android 手机固件中发现了一个后门,会将用户的大量私人信息发送到提供固件的中国公司服务器上,发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。
提供固件的上海广升信息技术有限公司声称是失误,否认为中国政府收集情报,声称它是一家私人公司。上海广升自称它的软件运行在全球超过 7 亿台设备上,包括手机、平板和车载娱乐系统,它的软件被华为和中兴的手机使用,也用于美国亚马逊和百思买售价 50 美元的 BLU R1 HD 廉价 Android 智能手机。广升声称软件的监视功能是为中国市场设计的,以帮助中国手机制造商监视用户行为,不小心包含在美国销售的BLU设备中。
后门包含在固件的 OTA 更新软件中,它以 JSON 格式向广升的大数据服务器发送数据,这些服务器的域名包括了 bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn 和 bigdata.advmob.cn。BLU 表示,其 12 万部手机受到影响,公司已更新了软件,删除了这个功能。
《纽约时报》报道称,这个问题显示了处在整个技术供应链中的公司如何能够在制造商或用户知情或不知情的情况下损害隐私。它也让人看到了中国公司——进而延伸到中国政府——可以监视手机的一种方式。多年来,中国政府一直在使用各种方法来过滤和跟踪互联网的使用,监视在线对话。政府要求在中国经营的技术公司遵守严格的规则。
据广升提供的文件,这款软件是根据一个未指明的中国制造商的要求编写的,该制造商希望软件有存储通话记录、短信消息和其他数据的能力。广升说,中国公司使用这些数据提供客户支持。美国国土安全部发言人 Marsha Catron 说,国土安全部“最近获悉了 Kryptowire 发现的问题,正在与我们的公共和私营部门合作伙伴一起确定适当的缓解策略。”