紐時:部份 Android 裝置會私下將資料上傳到中國

作者 | 發布日期 2016 年 11 月 16 日 17:33 | 分類 Android , 資訊安全
Flickr/Aidan

據《紐約時報》報導,目前疑似有超過 7 億支 Android 裝置與車載系統由於安裝來自中國一間科技公司的韌體,使得部份個資會在用戶不知情的前提下,將資料回傳到中國的伺服器。



私下上傳用戶個資

報導指出,率先察覺該韌體的人是美國的一名安全專家,也是 Kryptowire 公司的資深副總。他日前隨意購買一支來自 BLU 的廉價手機,然後發現這部安裝了特殊韌體的裝置會私下上傳資料,於是他將相關的情資交給美國國土安全部。

國土安全部的報告表示,這款內建在 Android 裝置的特殊韌體會以每 72 小時一次的頻率把資料傳回上海。而該韌體除了可以遠端更新,傳輸的內容也包括用戶的位置,以及完整的聯絡人清單、通話記錄與簡訊內容。相比一般手機的韌體更新通常會有明顯的通知,也通常會告知隱私權限並且得經過用戶允許才會執行,這款韌體不論是安裝、更新或運作都完全隱蔽,引來了一些質疑。

 

廣升信息技術

承包撰寫該韌體的公司是上海的「廣升信息技術」(Adups)。儘管不了解背後是由哪個單位提出承攬需求,不過廣升指出該單位的目的是「為了提供客服支援」。廣升的官網也指出它們的核心服務是提供「大數據」軟體,同時在市面上有 7 億台流通的裝置使用它們的程式碼。由於廣升並未提及有多少裝置安裝了這款爭議韌體,因此使用者仍無法確認,究竟自己是不是潛在的受害者。

《紐約時報》指出,如果使用者具有資工專長,還是可以發現不明的韌體運作,不過一般使用者則無從檢視,因為它不會出現在使用者界面。據廣升公司的說法,它們的主力客戶包括了華為與中興通訊(ZTE)兩間主流手機公司,儘管抽樣誤差可能很大,但用戶或許可以通過品牌,來簡單判斷自己的 Android 裝置是否內建了不肖韌體。

 

是大數據還是監控?

目前,中國海外的白牌手機、預付話費用戶,較可能會是潛在的受害者。引爆這次事件的 BLU 公司亦確認自家有 12 萬台裝置安裝了這款韌體,但也表示已經推送了更新檔來封鎖它。而 Android 的設計者 Google 則同時要求各家廠商必須移除廣升開發的韌體──當然,除了 Google 已經在 2010 年終止搜尋服務的中國。

值得一提的是,實際上這種「數據搜集」已經成為網路時代的原罪。例如 Google 自己也指出,為了搜集資料來改善服務,它們也會上傳用戶的電話號碼、來電號碼、通話時間、簡訊傳送資訊、系統活動、裝置設定到 Google 伺服器,但與廣升不同的是,Google 應不會上傳完整的簡訊內容,以及用戶的整個聯絡人清單。

註:目前仍不清楚要求廣升撰寫軟體的私人單位是否與中國政府有關,也不清楚該單位的目的是政府監控、還是搜集數位廣告資料。

(首圖來源:Flickr/Aidan CC BY 2.0) 

關鍵字: , ,

發表迴響