在美国花50美元,你就可以买到一台高清晰度、快速数据服务的智能手机。但是它还可能有一个秘密功能:每72小时向中国发送你的所有简讯。
《纽约时报》报导说,安全承包商最近在一些安卓手机上发现了预安装的软件,它们监控用户去哪里、和谁说话、简讯上写了什么。美国当局说,不清楚这些软件是出于营销目的的秘密数据挖掘,还是中共政府搜集情报的努力。国际顾客以及预付电话用户是受影响最大的人群。
这款软件的作者是上海广升信息技术公司。该公司说它的代码在7亿台手机上运行。美国手机制造商BLU Products说,它生产的12万台手机受到影响。该公司已经更新软件,消除监控功能。
发现这一漏洞的安全公司Kryptowire说,上海广升的软件将用户的所有简讯、联系人名单、通话记录、位置信息和其它数据传送到一台中国服务器。
Kryptowire公司副总裁汤姆‧凯瑞詹尼斯告诉《纽约时报》,这些预安装的软件和监控行为没有向用户披露,而且它们非常隐蔽,用户难以发现。
安全专家在消费者电子产品当中频频发现漏洞,但是这起案件是非常特殊的。根据广升向BLU高管提供的解释文件,它不是一个错误,而是广升故意设计了这款软件,来帮助中国手机制造商监控用户行为。广升公司声称,这款软件本来不是为了用在美国手机上的。
广升的律师林莉莉告诉《纽约时报》,“是一家私人公司犯了一个错误。”
这个事件显示,整个科技供应链的公司都可能泄露隐私。它也让人看到,中国公司乃至中共政府都可以监视手机行为。许多年来,中共政府使用不同方法来追踪互联网和监视网上对话。它要求在华科技公司遵循严格的规定。
事件核心是一类叫做固件的特殊软件,它告诉手机如何运行。广升提供的代码让手机公司可以远程更新固件,用户基本上不知道这个重要功能。通常,当手机制造商更新固件的时候,它会告诉顾客它在做什么,以及它是否将使用任何个人数据。但是广升没有这么做。
根据广升的网站,该公司向两家全球最大手机制造商中兴和华为提供软件。它们都位于中国。
BLU Products首席执行官赛谬尔‧锡安告诉《纽约时报》,“这显然是我们不知道的一些东西。我们很快纠正了它。”
锡安说,广升向他保证,所有从BLU客户那里获得的信息都已经被销毁。
广升向BLU提供的文件说,这些软件是应中国手机制造商的要求编写的。制造商希望手机能够储存通话记录、简讯等数据。广升说,中国公司使用这些数据提供客户支持。
林莉莉告诉《纽约时报》,这些软件是为了帮助中国客户确定垃圾简讯和电话。她没有透露,是哪些公司提出安装要求。她说她不知道有多少手机受到影响。她说,是手机公司有责任向用户披露监控软件的存在,而不是广升。
安卓手机操作系统是由谷歌开发。谷歌官员告诉《纽约时报》,该公司已经要求广升从运行谷歌服务的手机当中删除监控软件。
由于广升还没有发布受影响的手机清单,现在不清楚用户如何才能确定他们的手机中招了。
根据广升网站,该公司也提供大数据服务,帮助手机公司研究客户。
Kryptowire公司发现这个问题是出于巧合和好奇。一名研究员购买了一台BLU R1 HD廉价手机,以方便海外旅行。在设置手机的过程中,他注意到异常网络活动。接下来一周,分析师注意到,该手机在向上海一台服务器发送简讯,该服务器属于广升。
Kryptowire公司向美国政府报告了这个发现。该公司打算最早在周二公布它的报告。
美国国土安全部发言人告诉《纽约时报》,他们最近获悉了Kryptowire的发现,正在跟公共和私人机构合作,确定合适的应对策略。
Kryptowire是一家国土安全部承包商。
BLU首席执行官赛谬尔‧锡安说,他相信他的客户的问题已经得到解决。“今天,BLU手机不再搜集那些信息。”