國外研究員主題演講：某中國公司仍在大量收集Android手機簡訊、聯繫人等信息

在周三的BlackHat黑帽大會上，來自上海的廣升科技(Adups)再一次被推上風口浪尖。研究人員稱，廣升至少在兩款Android手機中收集用戶信息。

去年11月，Kryptowire安全公司的專家發布報告稱，美國在售某些品牌的的Andriod手機的固件中存在廣升公司的後門，廣升為這些手機提供FOTA固件升級解決方案，從而在未經用戶允許的情況下，將個人數據傳輸至其在上海的伺服器，包括簡訊全文、聯繫人、通話記錄等信息。美國主要受這一固件影響的手機品牌為BLU，包括型號R1 HD和Life One X2，在Amazon和Best Buy上有售。

Kryptowire在報告中說，他們針對固件的代碼和網路都進行了分析：從事這種行為監測的是某種商業FOTA升級軟體系統——那些受影響的Android設備都搭載了這一系統。這套系統就是來自上海廣升技術有限公司（Shanghai Adups Technology Co. Ltd）。

順帶一提，發布這份報告的Kryptowire公司，是由美國國防高級研究計劃局 (DARPA) 和國土安全部 (DHS) 聯合投資的公司，主要為美國國防、軍事、情報機構提供移動應用程序的安全性分析、企業級移動設備安全解決方案等服務。

在昨天的BlackHat 2017大會上，Kryptowire公司聯合創始人，去年曾經參與編寫報告的研究員Ryan Johnson發表演講稱，今年5月他發現廣升公司依然在收集用戶數據並將他們傳回中國的伺服器。

研究人員表示，這些數據包括機主的完整簡訊、完整號碼的通話記錄，還有一些設備標識，包括IMSI、序列號、MAC地址還有IMEI號。

「我發現的時候，他們在收集簡訊、通話記錄、GPS位置，之後他們不收集了，」Johnson稱，「但今年5月，我發現廣升又在收集用戶信息。」

根據廣陞官網的宣傳，廣升提供FOTA技術服務，目前已與700家領先的晶元廠商、方案設計廠商、ODM/OEM廠商、智能硬體品牌廠商達成戰略合作夥伴關係。有7億設備，包括汽車，使用了該公司的軟體。

去年11月被口誅筆伐後，上海廣升科技發布了一則道歉聲明，稱該­定製化的版本將採集簡訊內容以滿足部分國內品­牌客戶手機智能簡訊模塊的需求，通過後端的批­量數據分析，智能識別垃圾簡訊、公眾服務號碼­並進行簡訊分類，從而改善手機體驗，不小心包­含在美國銷售的BLU設備中。但是研究人員稱，廣升仍然在部分Blu型號的手機上收集信息。在Blu生產的Grand M手機中，廣升收集的信息包括基站ID、安裝程序列表、用戶的IMSI碼和SIM卡序列號。

除此之外，研究人員稱，另一家名叫Cubot的中國手機公司也在使用廣升的軟體，收集的信息除了基站ID、安裝程序列表、用戶的IMSI碼和SIM卡序列號以外還包括手機瀏覽器的瀏覽記錄。

國內讀者可能並不了解Cubot和Blu這個品牌，Cubot在歐洲、非洲、南美和亞洲銷售手機。而Blu的手機則在美國銷售較多，包括百思買和沃爾瑪有售。小編搜索後發現，Blu手機是Amazon上銷量最高的無鎖手機。

「廣升沒有任何權利跟蹤用戶的瀏覽記錄，更不要提其他數據了。」Johnson稱。

不過Johnson稱在周一對Cubot X16S的測試中發現廣升已經停止收集手機信息了。儘管如此，Johnson稱廣升仍然有能力對大量手機執行命令，包括在用戶不知情的情況下安裝任意app，截屏，或者擦除所有手機數據。

*參考來源：Threatpost，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！