廣告

AdUps有意無意在Android手機留下「後門」 受影響裝置可能比想像多 (更新:AdUps回應)

更新:AdUps後續釋出聲明 (但僅提供英文版本),表示為了進一步提供更完整的韌體OTA更新服務,因此需要蒐集使用者裝置型號、使用狀態,以及手機概要資訊,藉此將合適更新資料套用在正確裝置上安裝,同時也因應部分客戶要求用於識別垃圾簡訊或騷擾電話,因此必須蒐集通話記錄相關內容,並且強調並未將這些資料留作他用。

至於目前如何確認本身手機是否因此受到影響?最簡單方式就是確認個人手機是否連結至「bigdata.adups.com」,或「ebootv5.adsunflower.com」兩個網域,同時目前受影響機種又以貼牌的白牌手機影響居高,因為本身可能僅以Android作業系統打造手機產品,但並未進一步與Google合作,因此必須仰賴外部軟體服務商提供OTA升級服務。至於iOS機種是蘋果字型負責更新,因此並不會受到AdUps提供服務影響資安問題。


過去中國品牌手機多少讓人留下個資回傳中國境內伺服器的隱憂,但不少情況其實是所使用服務配合中國境內雲端伺服器運作,同時所有資料均以加密形式傳遞,並不見得與個資外洩風險有關。不過,稍早研究資料顯示由中國上海軟體廠商AdUps (廣升信息)所提供軟體內容,將以有意情況將使用者手機所在位置、通話記錄、搜尋記錄等資訊回傳至中國境內伺服器,顯然已經超出AdUps原本提供韌體OTA更新服務範疇。

%e8%9e%a2%e5%b9%95%e5%bf%ab%e7%85%a7-2016-11-16-%e4%b8%8b%e5%8d%889-20-16_resize

由於AdUps所提供服務主要在於韌體OTA更新運作,因此將使用者位置、通話紀錄關鍵字搜尋等資料回傳至中國境內伺服器,似乎並非正常運作模式,因此安全研究單位Kryptowire認為AdUps若非發生軟體撰寫漏洞或錯誤情況,便是有意將此類內容回傳至中國境內。

目前與AdUps合作的手機廠商,除包含以白牌手機貼牌推出多款產品的美國手機廠商BLU,以及中興、海爾等中國品牌手機,就連聯發科也是AdUps合作夥伴,因此在北美地區至少就有超過12萬支手機受到影響,而這些手機多半是以中階、入門機種為主,若加上美國以外地區可能受影響手機數量,預期將多達5億支。

BLU確認此項問題後,隨即提供修正更新修補此項問題,並且要求AdUps刪除相關回傳資料,而Google方面則表示對此並不知情。

而除了造成手機可能影響使用者個資安全之外,由於AdUps本身同樣與晶片廠商、硬體廠商合作各類產品韌體內容,因此在不少連網電視、智慧穿戴裝置、車載系統也可能受影響。

廣告

發表迴響

%d 位部落客按了讚: