美国出售的Android手机，居然会将用户的个人数据传回到中国上海的服务器？今天美国大量安全媒体就报道了这样一件事，美国人民听来大概是非常惊悚的！Kryptowire安全公司的专家发现美国在售某些品牌的Andriod手机的固件中存在后门，可在未经用户允许的情况下，将个人数据传输至中国服务器，包括短信全文、联系人、通话记录等信息。美国主要受这一固件影响的手机品牌为BLU，目前在Amazon和Best Buy上有售。

顺带一提，发布这份报告的Kryptowire公司，是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司，主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。这家公司都出动了，可见问题严重性。

短信和联系人都回传到上海服务器

Kryptowire在报告中说，他们针对固件的代码和网络都进行了分析：从事这种行为监测的乃是某种商业FOTA升级软件系统——那些受影响的Android设备都搭载了这一系统。这套系统就是来自上海广升技术有限公司（Shanghai Adups Technology Co. Ltd）。

这里的Adups上海广升信息技术有限公司成立于2012年，主要业务范围是移动软件管理(MSM)领域和FOTA平台。

“Kryptowire已经发现了多个受影响的Andriod手机型号，其中包括使用最为广泛的 BLU R1 HD”。据报告所说，“这个后门会将用户短息、联系人、通话记录、国际移动用户识别码（IMSI）和国际移动设备识别码（IMEI）等在用户不知情的情况下全部传给中国服务器。”

而且收集的信息还经过了多层加密，比如短信内容采用DES加密，再“通过安全web协议发往位于上海的服务器。此软件和信息手机行为能够绕过了移动反病毒工具的检测——反病毒工具原本就认为预装的软件并非恶意程序，也就列入白名单了。”

报告中提到，上海广升所推的固件进行数据收集和发送的两个系统程序为com.adups.fota.sysoper和com.adups.fota，每隔72小时就会回传短信全文和通话记录，每隔24小时发送其他个人识别信息。

上述数据被发送到以下四个域名：

bigdata.adups.com

bigdata.adsunflower.com

bigdata.adfuture.cn

bigdata.advmob.cn

这几个域名指向同一IP地址221.228.214.101，这个地址即属于上海广升。在数据传输之前，设备还会通过REST API与远程服务器进行check-in登记，确认需要收集的信息。上传至bigdata.adups.com的文件列表如下：

其固件覆盖超过7亿用户

SecurityAffairs在报道中认为，上海广升将这个后门嵌入固件中，主要目的还是广告和商业用途。不过Kryptowire已把这一发现上报了美国政府。美国国土安全部发言人Marsha Catron甚至表示，国土安全部“最近获悉了Kryptowire发现的问题，正在与我们的公共和私营部门合作伙伴一起确定适当的缓解策略。

上海广升其实也为中国的一些巨头公司提供同样的固件更新服务，像是华为和ZTE，不过并未公布更多手机制造商合作伙伴。早在今年7月份，上海广升曾在其官网宣布全球范围内的活跃用户量达到7亿，在超过150个国家和地区逾70%的市场份额，办公室则覆盖了上海、深圳、北京、东京、新德里、迈阿密；此外，其固件已经触及到了超过400家移动运营商、半导体制造商和设备制造商，设备类型则涵盖可穿戴、移动设备、汽车以及电视。

其法人代表在接受纽约时报采访时明确表示他们并没有为政府收集数据。

“广升只是一个不小心犯了错的私企。”这家公司的律师Lily Lim说。

“在中国的技术公司都需要遵循严格的规则来经营。 Lily Lim声明上海广升是不附属于中国政府的。”纽约时报报道。

• 参考来源：Kryptowire，FB小编孙毛毛编译，转载请注明来自FreeBuf.COM

本文转自d1net（转载）