某廉價(jià)安卓手機(jī)被爆藏后門，你還敢用嗎？

本文作者：又田

2017-08-23 10:24

導(dǎo)語：如果知道廉價(jià)安卓手機(jī)有泄露數(shù)據(jù)可能性，你還會用嗎？

“存話費(fèi)，送智能手機(jī)，只需 990！”
“預(yù)存 500 元話費(fèi)，手機(jī)免費(fèi)送！”
“全民狂歡，買就送！”

你是否曾對某些移動(dòng)通訊公司打出的此類口號心動(dòng)不已，剁手不停呢？但如果你知道廉價(jià)安卓手機(jī)有可能泄露個(gè)人數(shù)據(jù)，還敢貪小便宜買買買嗎？

雷鋒網(wǎng)消息，不久前，在美國拉斯維加斯舉行的全球最為知名的黑客大會 Black Hat 上，安全公司 Kryptowire 表示他們在美國銷售的低端 Android 手機(jī) BLU 固件中發(fā)現(xiàn)了一個(gè)后門，會將用戶的大量私人信息，比如手機(jī)號碼、位置數(shù)據(jù)、短信內(nèi)容、呼叫信息、安裝和使用的應(yīng)用等等發(fā)送到提供固件的中國公司服務(wù)器上。

這只是失誤，無辜臉~

納尼？這不就是監(jiān)控！

而收集這些數(shù)據(jù)的還是中國公司，老美皺緊眉頭，覺得事情很不簡單。

但提供固件的上海廣升信息技術(shù)有限公司表示自己也很無辜，這就是個(gè)失誤，而所謂軟件的監(jiān)視功能是為中國市場設(shè)計(jì)的，幫助中國手機(jī)制造商監(jiān)視用戶行為，不小心包含在美國銷售的 BLU 設(shè)備中。

還監(jiān)視自己人？

某廉價(jià)安卓手機(jī)被爆藏后門，你還敢用嗎？

反正廣升就是咬定自己是一家私人公司，它的軟件運(yùn)行在全球超過 7 億臺設(shè)備上，包括手機(jī)、平板和車載娛樂系統(tǒng)，這些軟件被華為和中興的手機(jī)使用，也用于美國亞馬遜和百思買售價(jià) 50 美元的 BLU R1 HD廉價(jià) Android 智能手機(jī)。

你看，我們自己的牌子都在用，怎么會有專門監(jiān)視這一說呢。中國政府收集情報(bào)？沒可能的。

但任他如何辯駁，已經(jīng)確定是，這個(gè)后門包含在固件的 OTA 更新軟件中，它以 JSON 格式向廣升的大數(shù)據(jù)服務(wù)器發(fā)送數(shù)據(jù)，這些服務(wù)器的域名包括了 bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn 和 bigdata.advmob.cn。

收集信息，到底有幾種姿勢？

BLU 固件后門事件只是個(gè)例，而折射出來的卻是對廉價(jià)智能手機(jī)安全性的擔(dān)憂。

掘金網(wǎng)的安卓開發(fā)工程師涂鴉揭示了手機(jī)廠商收集信息的幾種可能。

第一，用了高版本的系統(tǒng)，但是故意留下了后門給自己用，比如 BLU 固件中被發(fā)現(xiàn)的后門。也就是說，操作系統(tǒng)本身是沒有后門的，可能的是 BLU 的開發(fā)人員利用了開源的安卓系統(tǒng)，故意給自己寫了后門。

“就像一直流傳的 Windows 留有后門收集用戶信息一樣，開發(fā)人員自己寫代碼編譯了操作系統(tǒng)，無論背后有什么，也只有天知地知自己知道了。”

第二，用了低版本的系統(tǒng)，明知有問題不處理。

雷鋒網(wǎng)了解到，去年三月，谷歌曾發(fā)布過一次 root 權(quán)限安全漏洞的警告，它們將一個(gè)Linux內(nèi)核漏洞（編號為 CVE-2015-1805 )標(biāo)記為嚴(yán)重，而這起事件的導(dǎo)火索是有開發(fā)者在 Play 商店上架了含有該漏洞代碼的軟件，導(dǎo)致一些用戶被強(qiáng)制獲取了 root 從而引發(fā)信息泄露問題。

隨后，谷歌安全小組封鎖了這個(gè)能獲取 root 權(quán)限的高危 BUG，并在開源項(xiàng)目版安卓系統(tǒng)上打上了補(bǔ)丁。