根據(jù)Malwarebytes移動安全研究小組的研究成果，許多Android用戶可能仍然在設備上有后門。

又是某升？

事實上，他們的發(fā)現(xiàn)與去年的Adups事件有關。Adups（廣升公司）已經在FreeBuf出現(xiàn)過多次。2016年11月中旬，多家外媒曾報道多個品牌的Android手機的固件存在后門，每隔72小時會將短信內容、聯(lián)系人等信息回傳至中國，美國網絡安全公司Kryptowire表示，一家名為Adups的中國公司創(chuàng)建的固件代碼正在收集大量的用戶信息，并將其發(fā)送到位于中國的服務器，該固件就是由上海廣升公司開發(fā)。

根據(jù)廣升官網的宣傳，廣升提供FOTA技術服務，目前已與700家領先的芯片廠商、方案設計廠商、ODM/OEM廠商、智能硬件品牌廠商達成戰(zhàn)略合作伙伴關系。有7億設備，包括汽車，使用了該公司的軟件。當時的事件影響了眾多Android手機型號，國外媒體一片嘩然。

Kryptowire稱，后門代碼會收集短信，通話記錄，地址簿，應用程序列表，電話硬件標識符，也能安裝新的應用程序或更新現(xiàn)有應用。后門隱藏在一個名為com.adups.fota的內置預裝的應用程序中，com.adups.fota是負責手機固件無線更新（FOTA）系統(tǒng)的組件。

當時，專家們認為Adups向其他手機廠商提供了組件，最終安裝在了7億多設備中，其中大多數(shù)是廉價Android手機，有些則是Android Barnes＆Noble NOOK的平板。

事件曝光后，很多廠商不再出售存在漏洞的機型，而廣升集團之后也發(fā)布了無后門，不收集收集信息的FOTA組件。盡管今年八月Black Hat 2017上研究人員稱，有些設備仍然在收集數(shù)據(jù)。

　　但根據(jù)Malwarebytes最近的一項調查，部分組件中仍然存在漏洞。

后門出自另一款組件

Malwarebytes表示，它發(fā)現(xiàn)另一款Adups組件在做壞事。就像之前的Adups后門一樣，這個應用程序也是無法移除的，用戶也無法禁用。

這個新的組件有兩個包名com.adups.fota.sysoper和com.fw.upgrade.sysoper，在手機的應用列表里顯示的名稱是UpgradeSys (FWUpgradeProvider.apk)。

第二個組件可以在名稱為UpgradeSys（FWUpgradeProvider.apk）的名稱下找到，例如com.adups.fota.sysoper或com.fw.upgrade.sysoper，它們出現(xiàn)在手機的應用程序列表中。

如何刪除應用程序

唯一能夠刪除組件的方法是root設備，但是很多手機廠商并不推薦這樣的方法，這可能會帶來安全問題。

還有一個名為Debloater的Windows應用程序可以移除UpgradeSys組件，但這個軟件沒有在所有Android設備上測試過，有可能導致意外。

Malwarebytes表示，目前他們還沒有發(fā)現(xiàn)應用執(zhí)行的惡意操作，但這并不能保證廣升或黑客不會利用它進行攻擊。

最常見的解釋是廣升在去年清理FOTA組件后忘記從UpgradeSys組件中刪除干擾代碼。

還不清楚有多少手機受到了影響，但是Collier表示，“有報道說這個手機是從英國等國的合法電話運營商購買的。”