上海廣升信息技術(shù)有限公司針對(duì)《中國(guó)公司在安卓手機(jī)留“后門”》公布道歉聲明���,聲明稱該定制化的版本將采集短信內(nèi)容以滿足部分國(guó)內(nèi)品牌客戶手機(jī)智能短信模塊的需求,通過(guò)后端的批量數(shù)據(jù)分析��,智能識(shí)別垃圾短信��、公眾服務(wù)號(hào)碼并進(jìn)行短信分類,從而改善手機(jī)體驗(yàn),不小心包含在美國(guó)銷售的BLU設(shè)備中���。
上海廣升信息技術(shù)有限公司關(guān)于近期媒體有關(guān)報(bào)道的聲明
就近期媒體有關(guān)報(bào)道��,我公司聲明如下:
上海廣升信息技術(shù)有限公司(下稱:廣升)是一家為用戶提供專業(yè)空中固件下載(Firmware Over-The-Air)及更新服務(wù)的企業(yè)����。我們提供的云服務(wù)涉及云主機(jī)�����、CDN以及同意制造商更新其所有設(shè)備模型的服務(wù)���。我們的客戶包括全球智能設(shè)備制造商��、移動(dòng)運(yùn)營(yíng)商、以及半導(dǎo)體廠商��。
為了確保廣升的空中固件下載應(yīng)用能夠?yàn)樵O(shè)備提供精準(zhǔn)的更新和服務(wù)���,我們采集了機(jī)型信息�、設(shè)備狀態(tài)、應(yīng)用信息�、bin/xbin信息、電話短信的匯總信息��,以便驗(yàn)證相關(guān)更新和服務(wù)是否送達(dá)至指定設(shè)備�。同時(shí),在傳輸過(guò)程中廣升使用https并且多重加密以確保數(shù)據(jù)安全��。自公司成立以來(lái)�,廣升的空中固件下載應(yīng)用非常重視用戶及客戶的安全隱私,始終不斷地豐富更多用戶功能和加強(qiáng)用戶安全保護(hù)����。
關(guān)于客戶對(duì)攔截垃圾廣告和電話的需求,客戶的期望是廣升能夠提供一種用以標(biāo)注垃圾廣告和電話的方式�����。因此�,我們開發(fā)了一個(gè)相關(guān)的解決方案���,并且可以在廣升的空中固件下載應(yīng)用中使用。該定制化的版本將采集短信內(nèi)容以滿足部分國(guó)內(nèi)品牌客戶手機(jī)智能短信模塊的需求,通過(guò)后端的批量數(shù)據(jù)分析��,智能識(shí)別垃圾短信、公眾服務(wù)號(hào)碼并進(jìn)行短信分類����,從而改善手機(jī)體驗(yàn)。收集短信發(fā)送信息的目的是為識(shí)別惡意扣費(fèi)的短信通道號(hào)���。該功能如果檢測(cè)到特定的關(guān)鍵詞或者非用戶通訊錄中的電話號(hào)碼時(shí)就會(huì)作出相應(yīng)標(biāo)注。
2016年6月����,Blu Product部分機(jī)型應(yīng)用了廣升特定版本的空中固件下載應(yīng)用。由于疏忽��,其中包含了廣升為其他客戶提供的垃圾廣告及電話攔截功能���,當(dāng)Blu Product提出異議時(shí),廣升馬上 采取措施終止了這項(xiàng)功能�����。隨后��,廣升為Blu Product更新了相關(guān)應(yīng)用�,并通過(guò)了Kryptowire的測(cè)試。此外��,廣升不僅正在與Blu Product和谷歌協(xié)同合作����,用來(lái)確保這種攔截垃圾廣告和電話的功能不會(huì)在升級(jí)后的Blu 手機(jī)上出現(xiàn),還將繼續(xù)深化合作從而進(jìn)一步加強(qiáng)其產(chǎn)品的用戶安全隱私�。在此,廣升誠(chéng)摯地向合作伙伴及用戶表示歉意�。今后,我們將嚴(yán)格進(jìn)行流程管控��,為合作伙伴和客戶提供最優(yōu)質(zhì)產(chǎn)品及服務(wù)��,為消費(fèi)者打造世界領(lǐng)先的物聯(lián)網(wǎng)終端治理 云平臺(tái)��。
上海廣升信息技術(shù)有限公司
早先,紐約時(shí)報(bào)公布一篇報(bào)道《中國(guó)公司被指在安卓手機(jī)留“后門”》���,該報(bào)道引起了國(guó)內(nèi)外輿論的廣泛關(guān)注��。
中國(guó)公司被指在安卓手機(jī)留“后門”
華盛頓——花大約50美元(約合340元人民幣),你就可以買到一部帶有高清顯示和快速數(shù)據(jù)服務(wù)的智能手機(jī)�����。從事信息安全工作的承包商說(shuō)���,這種手機(jī)還有一種秘密功能:它有一個(gè)后門�����,會(huì)每隔72小時(shí)就把你所有的短信都發(fā)送到中國(guó)�。
從事安全工作的承包商最近在一些安卓(Android)手機(jī)上發(fā)現(xiàn)了預(yù)裝軟件�����,這種軟件監(jiān)視用戶去過(guò)哪里���,他們與什么人聊過(guò)天,他們?cè)诙绦胖袑懥耸裁?���。美?guó)當(dāng)局表示�����,尚不清楚這是一種為了廣告目的而秘密進(jìn)行的數(shù)據(jù)挖掘,還是一種中國(guó)政府收集情報(bào)的努力�。
受這種軟件影響最大的是國(guó)際客戶���、臨時(shí)手機(jī)用戶以及預(yù)付話費(fèi)的用戶�。但還不清楚其影響范圍有多大�����。這個(gè)軟件是中國(guó)的上海廣升信息技術(shù)有限公司(Adups)編寫的��,該公司稱其代碼在超過(guò)七億部手機(jī)����、汽車和其他智能設(shè)備上運(yùn)行。美國(guó)手機(jī)制造商BLU產(chǎn)品公司表示���,其12萬(wàn)部手機(jī)受到影響,公司已更新了軟件�,刪除了這個(gè)功能���。
發(fā)現(xiàn)該漏洞的信息安全公司Kryptowire說(shuō),廣升的軟件將短信的全文��、聯(lián)系人名單����、通話記錄、位置信息��,以及其他數(shù)據(jù)傳輸?shù)揭粋€(gè)中國(guó)的服務(wù)器上去。Kryptowire副總裁湯姆·卡拉吉安尼斯(Tom Karygiannis)說(shuō)����,代碼是預(yù)裝在手機(jī)上的,但沒有向用戶披露這種監(jiān)視功能��,Kryptowire公司位于弗吉尼亞州的費(fèi)爾法克斯���?����!凹词鼓阆胫?���,你也不可能知道有這個(gè)東西,”他說(shuō)���。
雖然信息安全專家經(jīng)常在消費(fèi)者電子產(chǎn)品中發(fā)現(xiàn)漏洞,但這次的情況很特別���。這不是一個(gè)程序錯(cuò)誤。相反�����,據(jù)廣升向BLU高管提供的解釋這個(gè)問題的文件�����,廣升有意設(shè)計(jì)了這個(gè)軟件����,以幫助中國(guó)手機(jī)制造商監(jiān)視用戶行為。廣升表示���,帶有上述功能的軟件版本原本不是為美國(guó)手機(jī)寫的����。
“這是家犯了錯(cuò)誤的私人公司�,”加利福尼亞州帕洛阿爾托的律師林麗麗(Lily Lim)說(shuō),她是廣升的法律代理���。
這個(gè)問題顯示了處在整個(gè)技術(shù)供應(yīng)鏈中的公司�,如何能夠在制造商或用戶知情或不知情的情況下侵害隱私�����。它也讓人看到了中國(guó)公司——進(jìn)而延伸到中國(guó)政府——可以監(jiān)視手機(jī)的一種方式�。多年來(lái)���,中國(guó)政府一直在使用各種方法來(lái)過(guò)濾和跟蹤互聯(lián)網(wǎng)的使用,監(jiān)視在線對(duì)話���。政府要求在中國(guó)經(jīng)營(yíng)的技術(shù)公司遵守嚴(yán)格的規(guī)則�。林麗麗說(shuō)����,廣升不隸屬于中國(guó)政府部門��。
這個(gè)問題的核心是一種被稱為“固件”的特別 類型軟件�����,固件告訴手機(jī)如何進(jìn)行操作����。廣升提供的代碼讓公司能遠(yuǎn)程更新其固件,這是一個(gè)用戶基本上看不到的重要功能��。通常����,當(dāng)手機(jī)制造商更新其固件時(shí),它會(huì)告訴用戶做了什么��,也會(huì)告訴用戶它是否將使用個(gè)人信息�。盡管用戶通常對(duì)這種很長(zhǎng)的法律聲明文本毫不關(guān)懷 ,但畢竟告知了用戶����。廣升的軟件則未作有關(guān)聲明,Kryptowire說(shuō)。
據(jù)廣升的網(wǎng)站��,該公司向世界上兩家最大的手機(jī)制造商中興和華為提供軟件�。這兩家公司都在中國(guó)。
位于佛羅里達(dá)州的BLU產(chǎn)品公司的首席執(zhí)行官塞繆爾·奧赫夫-錫安(Samuel Ohev-Zion)說(shuō):“這顯然是我們不知道的事情�����。我們非常迅速地進(jìn)行了糾正����?��!?
他補(bǔ)充說(shuō)�����,廣升已向他保證��,從BLU客戶那里獲得的所有信息都已被銷毀��。
據(jù)廣升提供的文件��,這款軟件是根據(jù)一個(gè)未指明的中國(guó)制造商的要求編寫的,該制造商希望軟件有存儲(chǔ)通話記錄、短信消息和其他數(shù)據(jù)的功能��。廣升說(shuō)�����,中國(guó)公司使用這些數(shù)據(jù)提供客戶支持���。
林麗麗說(shuō)���,該軟件的目的是幫助中國(guó)客戶識(shí)別垃圾短信和電話。她沒有給出提這個(gè)要求的公司的名字�����,并表示不知道有多少手機(jī)受了影響�。林麗麗稱,向用戶聲明隱私政策的責(zé)任在電話公司�����,不在廣升�����。她說(shuō),“廣升只不過(guò)是按照電話分銷商的要求提供功能而已��?�!?
安卓手機(jī)用的軟件是谷歌(Google)開發(fā)的����,并免費(fèi)提供給手機(jī)制造商按照自己的需要改制��。一名谷歌負(fù)責(zé)人表示����,公司曾告訴廣升�����,讓其把監(jiān)視功能從運(yùn)行Google Play商店等服務(wù)的手機(jī)上刪除�����。但這不會(huì)包括中國(guó)的設(shè)備����,雖然中國(guó)有數(shù)億人使用安卓手機(jī)����,但由于審查的原因�,谷歌不在中國(guó)運(yùn)營(yíng)。
由于廣升尚未公布受影響手機(jī)的名單�,目前不清楚用戶如何能確定他們的手機(jī)是否有問題?���!坝悬c(diǎn)技術(shù)能力的人也許能自己解決,”Kryptowire副總裁卡拉吉安尼斯說(shuō)���。“但一般的消費(fèi)者怎么辦�?他們沒有辦法?!?
林麗麗說(shuō)�,她不知道用戶怎樣能確定他們是否受到影響。
廣升還提供被稱為“大數(shù)據(jù)”的服務(wù)��,幫助公司研究其客戶�,“更好地了解他們�����,了解他們喜歡什么���、他們使用什么�����、他們從哪里來(lái)���,還有他們的喜好��,以為他們提供更好的服務(wù)��,”公司的網(wǎng)站說(shuō)�����。
Kryptowire發(fā)現(xiàn)這個(gè)問題的過(guò)程既帶有偶然性�,也受到好奇心的驅(qū)使??ɡ材崴拐f(shuō)�,公司的一名研究員為一次海外旅行買了一部廉價(jià)的BLU R1 HD手機(jī)�����。在設(shè)置手機(jī)時(shí)����,這名研究人員注意到不平常的網(wǎng)絡(luò)活動(dòng)。據(jù)Kryptowire的報(bào)告�,在接下來(lái)的一周里,分析師注意到該手機(jī)在向位于上海的一個(gè)服務(wù)器發(fā)送短信內(nèi)容�,該服務(wù)器注冊(cè)在廣升名下。
Kryptowire已把這一發(fā)現(xiàn)上報(bào)了美國(guó)政府��。公司計(jì)劃最早在周二公布其報(bào)告�����。
美國(guó)國(guó)土安全部發(fā)言人瑪莎·卡特倫(Marsha Catron)說(shuō)�����,國(guó)土安全部“最近獲悉了Kryptowire發(fā)現(xiàn)的問題,正在與我們的公共和私營(yíng)部門合作伙伴一起確定適當(dāng)?shù)木徑獠呗?���?����!?
雖然Kryptowire是一家國(guó)土安全部的承包商�,但公司對(duì)BLU手機(jī)的分析是獨(dú)立于政府合同進(jìn)行的�����。
BLU首席執(zhí)行官奧赫夫-錫安說(shuō)�����,他確信公司已經(jīng)為客戶解決了這個(gè)問題��?��!叭缃褚呀?jīng)不存在收集這些信息的BLU設(shè)備了�����,”他說(shuō)����。
Adam Goldman對(duì)本文有報(bào)道貢獻(xiàn)。翻譯:Cindy Hao
豫公網(wǎng)安備41018402000614號(hào)