你在美国花50美元就可以买到一部高清晰度、快速数据服务的智能手机(smartphone)。但是它还可能有一个秘密功能,就是每72小时向中国转送你留在手机上的所有短信。
《纽约时报》今天报道说,在美国的安全承包商(security contractors)最近在一些安卓(Android)手机上发现了预安装的软件,它们监控用户去哪里、和谁说话、简讯上写了什么。美国当局说,不清楚这些软件是出于营销目的进行秘密数据挖掘,还是为中国搜集情报。
国际顾客以及预付电话用户是受影响最大的人群。该款软件设计方是上海广升信息技术公司。该公司说它的代码在7亿台手机上运行。而美国手机制造商BLU Products说,它生产的12万台手机受到影响。目前该公司已经更新软件,消除监控功能。
发现这一漏洞的美国安全承包商Kryptowire说,上海广升的软件将用户的所有简讯、联系人名单、通话记录、位置信息和其它数据传送到一台中国服务器。
Kryptowire公司副总裁汤姆‧凯瑞詹尼斯告诉《纽约时报》,这些预安装的软件和监控行为没有向用户披露,而且它们非常隐蔽,用户难以发现。
安全专家在消费者电子产品当中频频发现漏洞,但是这起案件是非常特殊的。根据广升向BLU高管提供的解释文件,它不是一个错误,而是广升故意设计了这款软件,来帮助中国手机制造商监控用户行为。而广升公司声称,这款软件本来不是为了用在美国手机上的。
广升的律师Lily Lim (译音:林丽丽)告诉《纽约时报》,“这是一家私人公司犯的错误。”
这个事件显示,整个科技供应链的公司都可能泄露隐私。它也让人看到,中国公司乃其政府都可以监视手机行为。
事件核心是一类叫做固件的特殊软件,它告诉手机如何运行。广升提供的代码让手机公司可以远程更新固件,用户基本上不知道这个重要功能。通常,当手机制造商更新固件的时候,它会告诉顾客它在做什么,以及它是否将使用任何个人数据。但是广升没有这么做。
根据广升的网站,该公司向两家全球最大手机制造商中兴和华为提供软件。它们都位于中国。
BLU Products首席执行官赛谬尔‧锡安告诉《纽约时报》,“这显然是我们不知道的一些东西。我们很快纠正了它。”
锡安说,广升向他保证,所有从BLU客户那里获得的信息都已经被销毁。
广升向BLU提供的文件说,这些软件是应中国手机制造商的要求编写的。制造商希望手机能够储存通话记录、简讯等数据。广升说,中国公司使用这些数据提供客户支持。
林莉莉告诉《纽约时报》,这些软件是为了帮助中国客户确定垃圾简讯和电话。她没有透露,是哪些公司提出安装要求。她说她不知道有多少手机受到影响。她说,是手机公司有责任向用户披露监控软件的存在,而不是广升。
安卓手机操作系统是由谷歌开发。谷歌官员告诉《纽约时报》,该公司已经要求广升从运行谷歌服务的手机当中删除监控软件。
由于广升还没有发布受影响的手机清单,现在不清楚用户如何才能确定他们的手机中招了。
根据广升网站,该公司也提供大数据服务,帮助手机公司研究客户。
Kryptowire公司发现这个问题是出于巧合和好奇。一名研究员购买了一台BLU R1 HD廉价手机,以方便海外旅行。在设置手机的过程中,他注意到异常网络活动。接下来一周,分析师注意到,该手机在向上海一台服务器发送简讯,该服务器属于广升。
Kryptowire公司向美国政府报告了这个发现。该公司打算最早在周二公布它的报告。
Kryptowire 是一家美国国土安全部承包商。
BLU首席执行官赛谬尔‧锡安(Ohev-Zion)说,他相信他的客户的问题已经得到解决。“今天,BLU手机不再搜集那些信息。”
美国国土安全部发言人玛莎 卡通(Marsha Catron)告诉《纽约时报》说,他们最近获悉了Kryptowire的发现,正在跟公共和私人机构合作,确定相应对付的策略。
编者后言:请检查一下您用的是哪款安卓手机。
资料来源:http://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html?_r=0
(美国华文网 圣地亚哥华文网 华文风采综合编译 USChinesePress.com SanDiegoChinesePress.com)