安卓用户你的手机是否预装了广升的软件?建议尽快弃用
|【博闻社】昨日有报道,提供固件云更新服务(FOTA)的上海广升信息技术有限公司被发现在固件中植入了后门,将用户大量的私人信息发送到其服务器上。该公司声称是失误,不小心将为中国市场开发的监控系统/后门安装到了在美国销售的产品中。
solidot指出,对于中国用户来说,这就带来了一个极其严重和敏感的问题:我的手机是否内置了广升的软件,它是否在收集私人信息?
根据其官网的广告,它在全世界有7亿激活用户,那么它在中国有多少激活用户?
广升就后门一事在英文声明(中文没有)中宣称,为了确保提供正确的更新和服务,它需要收集手机型号信息、设备状态、应用信息、bin/xbin信息、手机和消息的概要信息,利用这些信息验证合适的更新和服务发送到正确的设备上。
它声称被外界称为后门的功能是应中国客户要求开发用于识别垃圾短信和广告骚扰电话。至于它的声明是否可信另当别论。
我们所关心的是我们随身携带的手机是否含有广升的服务。简单的方法是监控流量,判断设备是否访问了广升的域名如bigdata.adups.com和ebootv5.adsunflower.com(该域名可用于发送提权指令)。
还有一种方法是识别广升的客户,如果你是苹果手机用户,你不用担心,广升的客户主要是Android厂商。
消费者报告正在调查有多少Android手机使用了广升的固件更新服务:Blu受影响的产品包括R1 HD、Energy X Plus 2、Studio Touch、Advance 4.0 L2、Neo XL和 Energy Diamond;Google称它的Nexus 和Pixel手机没有使用广升的固件,但无法提供其它 Android手机的信息;中兴称它在美国销售的机型没有使用广升的固件,华为称它与广升没有任何形式的业务往来;LG称它的手机没有受到影响,OnePlus 和 HTC表示正在调查。
安全公司Trail of Bits的CEO称,从中国审查者的角度看,这个功能不是bug而是特性。