上海廣升信息技術(shù)有限公司針對《中國公司在安卓手機留“后門”》公布道歉聲明��,聲明稱該定制化的版本將采集短信內(nèi)容以滿足部分國內(nèi)品牌客戶手機智能短信模塊的需求��,通過后端的批量數(shù)據(jù)分析����,智能識別垃圾短信��、公眾服務(wù)號碼并進行短信分類,從而改善手機體驗���,不小心包含在美國銷售的BLU設(shè)備中。
上海廣升信息技術(shù)有限公司關(guān)于近期媒體有關(guān)報道的聲明
就近期媒體有關(guān)報道�����,我公司聲明如下:
上海廣升信息技術(shù)有限公司(下稱:廣升)是一家為用戶提供專業(yè)空中固件下載(Firmware Over-The-Air)及更新服務(wù)的企業(yè)��。我們提供的云服務(wù)涉及云主機���、CDN以及同意制造商更新其所有設(shè)備模型的服務(wù)。我們的客戶包括全球智能設(shè)備制造商、移動運營商�����、以及半導(dǎo)體廠商����。
為了確保廣升的空中固件下載應(yīng)用能夠為設(shè)備提供精準的更新和服務(wù)����,我們采集了機型信息���、設(shè)備狀態(tài)、應(yīng)用信息�����、bin/xbin信息�����、電話短信的匯總信息����,以便驗證相關(guān)更新和服務(wù)是否送達至指定設(shè)備�。同時,在傳輸過程中廣升使用https并且多重加密以確保數(shù)據(jù)安全���。自公司成立以來,廣升的空中固件下載應(yīng)用非常重視用戶及客戶的安全隱私���,始終不斷地豐富更多用戶功能和加強用戶安全保護��。
關(guān)于客戶對攔截垃圾廣告和電話的需求�����,客戶的期望是廣升能夠提供一種用以標注垃圾廣告和電話的方式。因此�����,我們開發(fā)了一個相關(guān)的解決方案�,并且可以在廣升的空中固件下載應(yīng)用中使用。該定制化的版本將采集短信內(nèi)容以滿足部分國內(nèi)品牌客戶手機智能短信模塊的需求�,通過后端的批量數(shù)據(jù)分析,智能識別垃圾短信����、公眾服務(wù)號碼并進行短信分類,從而改善手機體驗��。收集短信發(fā)送信息的目的是為識別惡意扣費的短信通道號��。該功能如果檢測到特定的關(guān)鍵詞或者非用戶通訊錄中的電話號碼時就會作出相應(yīng)標注���。
2016年6月�,Blu Product部分機型應(yīng)用了廣升特定版本的空中固件下載應(yīng)用����。由于疏忽,其中包含了廣升為其他客戶提供的垃圾廣告及電話攔截功能���,當Blu Product提出異議時���,廣升馬上 采取措施終止了這項功能�����。隨后����,廣升為Blu Product更新了相關(guān)應(yīng)用�����,并通過了Kryptowire的測試���。此外��,廣升不僅正在與Blu Product和谷歌協(xié)同合作���,用來確保這種攔截垃圾廣告和電話的功能不會在升級后的Blu 手機上出現(xiàn)�����,還將繼續(xù)深化合作從而進一步加強其產(chǎn)品的用戶安全隱私�。在此�,廣升誠摯地向合作伙伴及用戶表示歉意。今后���,我們將嚴格進行流程管控���,為合作伙伴和客戶提供最優(yōu)質(zhì)產(chǎn)品及服務(wù),為消費者打造世界領(lǐng)先的物聯(lián)網(wǎng)終端治理 云平臺�。
上海廣升信息技術(shù)有限公司
中國公司被指在安卓手機留“后門”
華盛頓——花大約50美元(約合340元人民幣)�,你就可以買到一部帶有高清顯示和快速數(shù)據(jù)服務(wù)的智能手機���。從事信息安全工作的承包商說,這種手機還有一種秘密功能:它有一個后門���,會每隔72小時就把你所有的短信都發(fā)送到中國。
從事安全工作的承包商最近在一些安卓(Android)手機上發(fā)現(xiàn)了預(yù)裝軟件���,這種軟件監(jiān)視用戶去過哪里,他們與什么人聊過天�����,他們在短信中寫了什么�����。美國當局表示�,尚不清楚這是一種為了廣告目的而秘密進行的數(shù)據(jù)挖掘,還是一種中國政府收集情報的努力��。
受這種軟件影響最大的是國際客戶�、臨時手機用戶以及預(yù)付話費的用戶。但還不清楚其影響范圍有多大��。這個軟件是中國的上海廣升信息技術(shù)有限公司(Adups)編寫的���,該公司稱其代碼在超過七億部手機���、汽車和其他智能設(shè)備上運行����。美國手機制造商BLU產(chǎn)品公司表示,其12萬部手機受到影響����,公司已更新了軟件,刪除了這個功能���。
發(fā)現(xiàn)該漏洞的信息安全公司Kryptowire說,廣升的軟件將短信的全文����、聯(lián)系人名單�����、通話記錄、位置信息�,以及其他數(shù)據(jù)傳輸?shù)揭粋€中國的服務(wù)器上去���。Kryptowire副總裁湯姆·卡拉吉安尼斯(Tom Karygiannis)說��,代碼是預(yù)裝在手機上的�����,但沒有向用戶披露這種監(jiān)視功能�,Kryptowire公司位于弗吉尼亞州的費爾法克斯����?����!凹词鼓阆胫?�,你也不可能知道有這個東西�,”他說����。
雖然信息安全專家經(jīng)常在消費者電子產(chǎn)品中發(fā)現(xiàn)漏洞,但這次的情況很特別�。這不是一個程序錯誤。相反��,據(jù)廣升向BLU高管提供的解釋這個問題的文件�,廣升有意設(shè)計了這個軟件�,以幫助中國手機制造商監(jiān)視用戶行為。廣升表示��,帶有上述功能的軟件版本原本不是為美國手機寫的�����。
“這是家犯了錯誤的私人公司���,”加利福尼亞州帕洛阿爾托的律師林麗麗(Lily Lim)說�,她是廣升的法律代理。
這個問題顯示了處在整個技術(shù)供應(yīng)鏈中的公司��,如何能夠在制造商或用戶知情或不知情的情況下侵害隱私�。它也讓人看到了中國公司——進而延伸到中國政府——可以監(jiān)視手機的一種方式�。多年來,中國政府一直在使用各種方法來過濾和跟蹤互聯(lián)網(wǎng)的使用�,監(jiān)視在線對話�����。政府要求在中國經(jīng)營的技術(shù)公司遵守嚴格的規(guī)則。林麗麗說���,廣升不隸屬于中國政府部門�。
這個問題的核心是一種被稱為“固件”的特別 類型軟件����,固件告訴手機如何進行操作����。廣升提供的代碼讓公司能遠程更新其固件,這是一個用戶基本上看不到的重要功能�。通常,當手機制造商更新其固件時����,它會告訴用戶做了什么,也會告訴用戶它是否將使用個人信息���。盡管用戶通常對這種很長的法律聲明文本毫不關(guān)懷 ���,但畢竟告知了用戶。廣升的軟件則未作有關(guān)聲明��,Kryptowire說��。
據(jù)廣升的網(wǎng)站��,該公司向世界上兩家最大的手機制造商中興和華為提供軟件����。這兩家公司都在中國�����。
位于佛羅里達州的BLU產(chǎn)品公司的首席執(zhí)行官塞繆爾·奧赫夫-錫安(Samuel Ohev-Zion)說:“這顯然是我們不知道的事情���。我們非常迅速地進行了糾正?�!?
他補充說�,廣升已向他保證,從BLU客戶那里獲得的所有信息都已被銷毀�。
據(jù)廣升提供的文件,這款軟件是根據(jù)一個未指明的中國制造商的要求編寫的���,該制造商希望軟件有存儲通話記錄�、短信消息和其他數(shù)據(jù)的功能。廣升說���,中國公司使用這些數(shù)據(jù)提供客戶支持���。
林麗麗說,該軟件的目的是幫助中國客戶識別垃圾短信和電話��。她沒有給出提這個要求的公司的名字�����,并表示不知道有多少手機受了影響。林麗麗稱���,向用戶聲明隱私政策的責(zé)任在電話公司��,不在廣升�����。她說���,“廣升只不過是按照電話分銷商的要求提供功能而已?����!?
安卓手機用的軟件是谷歌(Google)開發(fā)的�����,并免費提供給手機制造商按照自己的需要改制��。一名谷歌負責(zé)人表示��,公司曾告訴廣升�,讓其把監(jiān)視功能從運行Google Play商店等服務(wù)的手機上刪除。但這不會包括中國的設(shè)備�,雖然中國有數(shù)億人使用安卓手機���,但由于審查的原因��,谷歌不在中國運營�����。
由于廣升尚未公布受影響手機的名單,目前不清楚用戶如何能確定他們的手機是否有問題���。“有點技術(shù)能力的人也許能自己解決���,”Kryptowire副總裁卡拉吉安尼斯說���。“但一般的消費者怎么辦���?他們沒有辦法�����。”
林麗麗說���,她不知道用戶怎樣能確定他們是否受到影響�。
廣升還提供被稱為“大數(shù)據(jù)”的服務(wù)���,幫助公司研究其客戶���,“更好地了解他們,了解他們喜歡什么����、他們使用什么��、他們從哪里來�����,還有他們的喜好,以為他們提供更好的服務(wù)��,”公司的網(wǎng)站說����。
Kryptowire發(fā)現(xiàn)這個問題的過程既帶有偶然性,也受到好奇心的驅(qū)使����。卡拉吉安尼斯說��,公司的一名研究員為一次海外旅行買了一部廉價的BLU R1 HD手機���。在設(shè)置手機時,這名研究人員注意到不平常的網(wǎng)絡(luò)活動��。據(jù)Kryptowire的報告�����,在接下來的一周里,分析師注意到該手機在向位于上海的一個服務(wù)器發(fā)送短信內(nèi)容,該服務(wù)器注冊在廣升名下�����。
Kryptowire已把這一發(fā)現(xiàn)上報了美國政府�����。公司計劃最早在周二公布其報告����。
美國國土安全部發(fā)言人瑪莎·卡特倫(Marsha Catron)說,國土安全部“最近獲悉了Kryptowire發(fā)現(xiàn)的問題�����,正在與我們的公共和私營部門合作伙伴一起確定適當?shù)木徑獠呗?���?���!?
雖然Kryptowire是一家國土安全部的承包商,但公司對BLU手機的分析是獨立于政府合同進行的����。
BLU首席執(zhí)行官奧赫夫-錫安說�,他確信公司已經(jīng)為客戶解決了這個問題����?!叭缃褚呀?jīng)不存在收集這些信息的BLU設(shè)備了,”他說���。
Adam Goldman對本文有報道貢獻��。翻譯:Cindy Hao
豫公網(wǎng)安備41018402000614號