有網絡安全公司發現,一些在 Amazon、BestBuy 等網站出售的 Android 智能手機,其韌體藏有後門,會把訊息、地址和通話記錄等敏感資料傳回韌體公司的伺服器。韌體由中國公司開發,代表律師稱事件乃私人公司的失誤,軟件本身是助中國客戶辨認垃圾訊息。
安全公司 Kryptowire 發現,部分在 Amazon、BestBuy 等美國網絡零售商出售的 Android 手機,如 BLU R1 HD,其韌體(firmware)會每 24 至 72 小時把訊息、通訊錄、通話記錄、IMSI 和 IMEI 傳送至韌體公司的上海伺服器。除此之外,韌體亦會在未經用戶同意之下安裝程式。
調查後發現,追蹤行為利用了韌體的 Firmware Over The Air(FOTA)更新系統,由中國的上海廣升信息技術股份有限公司(Shanghai Adups Technology Co. Ltd)開發。BLU Products 表示對事件全不知情,已盡快推出更新,又指有 120,000 部手機受影響。
公司的代表律師向《紐約時報》表示,這次事件是私人公司的失誤,原先只是應某中國客戶的要求開發,助他們辨認垃圾訊息和電話,並不是為美國手機而設;她又指,公司與中國政府無關。公司又向 BLU Products 表示,所有意外收集到的資料已銷毀。
Source : Kryptowire