在美國花50美元,你就可以買到一台高清晰度、快速數據服務的智慧型手機。但是它還可能有一個秘密功能:每72小時向中國發送你的所有簡訊。
《紐約時報》報道說,安全承包商最近在一些安卓手機上發現了預安裝的軟體,它們監控用戶去哪裏、和誰說話、簡訊上寫了什麼。美國當局說,不清楚這些軟體是出於營銷目的的秘密數據挖掘,還是中共政府蒐集情報的努力。國際顧客以及預付電話用戶是受影響最大的人群。
這款軟體的作者是上海廣升信息技術公司。該公司說它的代碼在7億台手機上運行。美國手機製造商BLU Products說,它生產的12萬台手機受到影響。該公司已經更新軟體,消除監控功能。
發現這一漏洞的安全公司Kryptowire說,上海廣升的軟體將用戶的所有簡訊、聯繫人名單、通話記錄、位置信息和其它數據傳送到一台中國服務器。
Kryptowire公司副總裁湯姆‧凱瑞詹尼斯告訴《紐約時報》,這些預安裝的軟體和監控行為沒有向用戶披露,而且它們非常隱蔽,用戶難以發現。
安全專家在消費者電子產品當中頻頻發現漏洞,但是這起案件是非常特殊的。根據廣升向BLU高管提供的解釋文件,它不是一個錯誤,而是廣升故意設計了這款軟體,來幫助中國手機製造商監控用戶行為。廣升公司聲稱,這款軟體本來不是為了用在美國手機上的。
廣升的律師林莉莉告訴《紐約時報》,「是一家私人公司犯了一個錯誤。」
這個事件顯示,整個科技供應鏈的公司都可能洩露隱私。它也讓人看到,中國公司乃至中共政府都可以監視手機行為。許多年來,中共政府使用不同方法來追蹤網際網路和監視網上對話。它要求在華科技公司遵循嚴格的規定。
事件核心是一類叫做固件的特殊軟體,它告訴手機如何運行。廣升提供的代碼讓手機公司可以遠程更新固件,用戶基本上不知道這個重要功能。通常,當手機製造商更新固件的時候,它會告訴顧客它在做什麼,以及它是否將使用任何個人數據。但是廣升沒有這麼做。
根據廣升的網站,該公司向兩家全球最大手機製造商中興和華為提供軟體。它們都位於中國。
BLU Products首席執行官賽謬爾‧錫安告訴《紐約時報》,「這顯然是我們不知道的一些東西。我們很快糾正了它。」
錫安說,廣升向他保證,所有從BLU客戶那裏獲得的信息都已經被銷毀。
廣升向BLU提供的文件說,這些軟體是應中國手機製造商的要求編寫的。製造商希望手機能夠儲存通話記錄、簡訊等數據。廣升說,中國公司使用這些數據提供客戶支持。
林莉莉告訴《紐約時報》,這些軟體是為了幫助中國客戶確定垃圾簡訊和電話。她沒有透露,是哪些公司提出安裝要求。她說她不知道有多少手機受到影響。她說,是手機公司有責任向用戶披露監控軟體的存在,而不是廣升。
安卓手機操作系統是由谷歌開發。谷歌官員告訴《紐約時報》,該公司已經要求廣升從運行谷歌服務的手機當中刪除監控軟體。
由於廣升還沒有發佈受影響的手機清單,現在不清楚用戶如何才能確定他們的手機中招了。
根據廣升網站,該公司也提供大數據服務,幫助手機公司研究客戶。
Kryptowire公司發現這個問題是出於巧合和好奇。一名研究員購買了一台BLU R1 HD廉價手機,以方便海外旅行。在設置手機的過程中,他注意到異常網絡活動。接下來一周,分析師注意到,該手機在向上海一台服務器發送簡訊,該服務器屬於廣升。
Kryptowire公司向美國政府報告了這個發現。該公司打算最早在周二公佈它的報告。
美國國土安全部發言人告訴《紐約時報》,他們最近獲悉了Kryptowire的發現,正在跟公共和私人機構合作,確定合適的應對策略。
Kryptowire是一家國土安全部承包商。
BLU首席執行官賽謬爾‧錫安說,他相信他的客戶的問題已經得到解決。「今天,BLU手機不再蒐集那些信息。」◇
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand