美國出售的Android手機，居然會將用戶的個人數據傳回到中國上海的服務器？今天美國大量安全媒體就報道了這樣一件事，美國人民聽來大概是非常驚悚的！Kryptowire安全公司的專家發現美國在售某些品牌的Andriod手機的固件中存在后門，可在未經用戶允許的情況下，將個人數據傳輸至中國服務器，包括短信全文、聯系人、通話記錄等信息。美國主要受這一固件影響的手機品牌為BLU，目前在Amazon和Best Buy上有售。

順帶一提，發布這份報告的Kryptowire公司，是由美國國防高級研究計劃局 (DARPA) 和國土安全部 (DHS) 聯合投資的公司，主要為美國國防、軍事、情報機構提供移動應用程序的安全性分析、企業級移動設備安全解決方案等服務。這家公司都出動了，可見問題嚴重性。

　　短信和聯系人都回傳到上海服務器

Kryptowire在報告中說，他們針對固件的代碼和網絡都進行了分析：從事這種行為監測的乃是某種商業FOTA升級軟件系統——那些受影響的Android設備都搭載了這一系統。這套系統就是來自上海廣升技術有限公司（Shanghai Adups Technology Co. Ltd）。

這里的Adups上海廣升信息技術有限公司成立于2012年，主要業務范圍是移動軟件管理(MSM)領域和FOTA平臺。

“Kryptowire已經發現了多個受影響的Andriod手機型號，其中包括使用最為廣泛的 BLU R1 HD”。據報告所說，“這個后門會將用戶短息、聯系人、通話記錄、國際移動用戶識別碼（IMSI）和國際移動設備識別碼（IMEI）等在用戶不知情的情況下全部傳給中國服務器。”

而且收集的信息還經過了多層加密，比如短信內容采用DES加密，再“通過安全web協議發往位于上海的服務器。此軟件和信息手機行為能夠繞過了移動反病毒工具的檢測——反病毒工具原本就認為預裝的軟件并非惡意程序，也就列入白名單了。”

報告中提到，上海廣升所推的固件進行數據收集和發送的兩個系統程序為com.adups.fota.sysoper和com.adups.fota，每隔72小時就會回傳短信全文和通話記錄，每隔24小時發送其他個人識別信息。

上述數據被發送到以下四個域名：

bigdata.adups.com

bigdata.adsunflower.com

bigdata.adfuture.cn

bigdata.advmob.cn

這幾個域名指向同一IP地址221.228.214.101，這個地址即屬于上海廣升。在數據傳輸之前，設備還會通過REST API與遠程服務器進行check-in登記，確認需要收集的信息。上傳至bigdata.adups.com的文件列表如下：

其固件覆蓋超過7億用戶

SecurityAffairs在報道中認為，上海廣升將這個后門嵌入固件中，主要目的還是廣告和商業用途。不過Kryptowire已把這一發現上報了美國政府。美國國土安全部發言人Marsha Catron甚至表示，國土安全部“最近獲悉了Kryptowire發現的問題，正在與我們的公共和私營部門合作伙伴一起確定適當的緩解策略。

上海廣升其實也為中國的一些巨頭公司提供同樣的固件更新服務，像是華為和ZTE，不過并未公布更多手機制造商合作伙伴。早在今年7月份，上海廣升曾在其官網宣布全球范圍內的活躍用戶量達到7億，在超過150個國家和地區逾70%的市場份額，辦公室則覆蓋了上海、深圳、北京、東京、新德里、邁阿密；此外，其固件已經觸及到了超過400家移動運營商、半導體制造商和設備制造商，設備類型則涵蓋可穿戴、移動設備、汽車以及電視。

其法人代表在接受紐約時報采訪時明確表示他們并沒有為政府收集數據。

“廣升只是一個不小心犯了錯的私企。”這家公司的律師Lily Lim說。

“在中國的技術公司都需要遵循嚴格的規則來經營。 Lily Lim聲明上海廣升是不附屬于中國政府的。”紐約時報報道。

* 參考來源：Kryptowire，FB小編孫毛毛編譯，轉載請注明來自FreeBuf.COM