【Technews科技新报】据《纽约时报》报导,目前疑似有超过 7 亿支 Android 设备与车载系统由于安装来自中国一间科技公司的固件,使得部份个资会在用户不知情的前提下,将资料回传到中国的服务器。
私下上传用户个资
报导指出,率先察觉该固件的人是美国的一名安全专家,也是 Kryptowire 公司的资深副总。他日前随意购买一支来自 BLU 的廉价手机,然后发现这部安装了特殊固件的设备会私下上传资料,于是他将相关的情资交给美国国土安全部。
国土安全部的报告表示,这款内建在 Android 设备的特殊固件会以每 72 小时一次的频率把资料传回上海。而该固件除了可以远程更新,传输的内容也包括用户的位置,以及完整的联络人清单、通话记录与简讯内容。相比一般手机的固件更新通常会有明显的通知,也通常会告知隐私权限并且得经过用户允许才会执行,这款固件不论是安装、更新或运作都完全隐蔽,引来了一些质疑。
广升信息技术
承包撰写该固件的公司是上海的“广升信息技术”(Adups)。尽管不了解背后是由哪个单位提出承揽需求,不过广升指出该单位的目的是“为了提供客服支持”。广升的官网也指出它们的核心服务是提供“大数据”软件,同时在市面上有 7 亿台流通的设备使用它们的程序码。由于广升并未提及有多少设备安装了这款争议固件,因此使用者仍无法确认,究竟自己是不是潜在的受害者。
《纽约时报》指出,如果使用者具有资工专长,还是可以发现不明的固件运作,不过一般使用者则无从检视,因为它不会出现在使用者界面。据广升公司的说法,它们的主力客户包括了华为与中兴通讯(ZTE)两间主流手机公司,尽管抽样误差可能很大,但用户或许可以通过品牌,来简单判断自己的 Android 设备是否内建了不良固件。
是大数据还是监控?
目前,中国海外的白牌手机、预付话费用户,较可能会是潜在的受害者。引爆这次事件的 BLU 公司亦确认自家有 12 万台设备安装了这款固件,但也表示已经推送了更新档来封锁它。而 Android 的设计者 Google 则同时要求各家厂商必须移除广升开发的固件──当然,除了 Google 已经在 2010 年终止搜索服务的中国。
值得一提的是,实际上这种“数据搜集”已经成为网络时代的原罪。例如 Google 自己也指出,为了搜集资料来改善服务,它们也会上传用户的电话号码、来电号码、通话时间、简讯传送资讯、系统活动、设备设定到 Google 服务器,但与广升不同的是,Google 应不会上传完整的简讯内容,以及用户的整个联络人清单。
(首图来源:Flickr/AidanCC BY 2.0)
如需获取更多资讯,请关注微信公众账号:Technews科技新报
