中国公司,安卓,植入后门
在上海广升之后,安全研究人员通过监视手机的流量,发现另一家叫锐嘉科集团有限公司的上海公司也在Android固件中植入后门,受影响的智能手机超过280万部,其主要品牌包括 BLU、Infinix Mobility、DOOGEE、LEAGOO、IKU Mobile、Beeline和 XOLO等。比广升固件后门好一点的是,该后门目前没有发现收集用户私人数据。 明天出去把手机扔了 催逼公司和中兴被爆出来了,前两天哥那边贴了,被屏蔽了。用催逼,就牛逼,赤条条来赤条条去,欧耶! 哪是没有收据私人数据,新闻说是直接吧通讯录短信之类全给你备份到它们服务器了。 你们把手机都扔给我吧,我受点委屈替你们把风险除了。 催逼是指华为么? 黄书黄 发表于 2016-11-23 23:43
催逼公司和中兴被爆出来了,前两天哥那边贴了,被屏蔽了。用催逼,就牛逼,赤条条来赤条条去,欧耶! ...
大黄头,你这么高端的人士,必须用水果、黑莓才安全啊,不如我用世界上最安全的肉鸡呀1110跟你换吧 手持黄头催逼手机路过{:1_129:}{:1_129:} 超级金六六 发表于 2016-11-24 09:01
大黄头,你这么高端的人士,必须用水果、黑莓才安全啊,不如我用世界上最安全的肉鸡呀1110跟你换吧 ...
当然苹果主力,其他鸡随便玩玩。 根号2 发表于 2016-11-24 09:03
手持黄头催逼手机路过
恭喜!联系人和短信、邮件、聊天记录拥有永不消失功能。
大桑海宝库帮你永久保存。 用广升,得永生,佛祖慈悲。 黄书黄 发表于 2016-11-24 13:53
恭喜!联系人和短信、邮件、聊天记录拥有永不消失功能。
大桑海宝库帮你永久保存。 ...
是啊..新机开机的时候我就打开这功能..非常好用 根号2 发表于 2016-11-24 14:29
是啊..新机开机的时候我就打开这功能..非常好用
隐藏功能,永久免费服务,不用开启。
外加天顶星24小时定位服务。{:1_115:} 广升FOTA在手机领域的第三方FOTA市场占有率达70%,为高通,联发科,展讯,TCL,中兴在内的700多家领先的芯片厂商、方案设计厂商、ODM/OEM厂商、运营商提供无线升级服务。
最新数据显示,截止上半年,全球已有7亿多台智能终端搭载了广升FOTA无线升级,服务全球合作伙伴超过1000家,第三方FOTA市场占有率达70%,并成功为40000多个智能终端项目进行了3亿次升级,当之无愧地成为国内系统升级领域的“金字招牌”。
上海广升信息技术有限公司后门事件:
提供固件云更新服务(FOTA)的上海广升信息技术有限公司被发现在固件中植入了后门,将用户大量的私人信息发送到其服务器上。该公司声称是失误,不小心将为中国市场开发的监控系统/后门安装到了在美国销售的产品中。对于中国用户来说,这就带来了一个极其严重和敏感的问题:我的手机是否内置了广升的软件,它是否在收集私人信息?根据其官网的广告(如图所示),它在全世界有7亿激活用户,那么它在中国有多少激活用户?广升就后门一事在英文声明(中文没有)中宣称,为了确保提供正确的更新和服务,它需要收集手机型号信息、设备状态、应用信息、bin/xbin信息、手机和消息的概要信息,利用这些信息验证合适的更新和服务发送到正确的设备上。它声称被外界称为后门的功能是应中国客户要求开发用于识别垃圾短信和广告骚扰电话。至于它的声明是否可信另当别论。我们所关心的是我们随身携带的手机是否含有广升的服务。简单的方法是监控流量,判断设备是否访问了广升的域名如bigdata.adups.com和ebootv5.adsunflower.com(该域名可用于发送提权指令)。还有一种方法是识别广升的客户,如果你是苹果手机用户,你不用担心,广升的客户主要是Android厂商。消费者报告正在调查有多少Android手机使用了广升的固件更新服务:Blu受影响的产品包括R1 HD、Energy X Plus 2、Studio Touch、Advance 4.0 L2、Neo XL和 Energy Diamond;Google称它的Nexus 和Pixel手机没有使用广升的固件,但无法提供其它 Android手机的信息;中兴称它在美国销售的机型没有使用广升的固件,华为称它与广升没有任何形式的业务往来;LG称它的手机没有受到影响,OnePlus 和 HTC表示正在调查。安全公司Trail of Bits的CEO称,从中国审查者的角度看,这个功能不是bug而是特性。 2016年11月22日
智能手机
近日,新三板挂牌公司上海广升被媒体报道“在安卓手机留“后门”。上海广升紧急停牌。
设计软件或有后门行为
据纽约时报近日报道,安全承包商发现不少安卓手机被预装了软件,用以记录用户地址、通讯等信息。华盛顿——花大约50美元(约合340元人民币),你就可以买到一部带有高清显示和快速数据服务的智能手机。从事信息安全工作的承包商说,这种手机还有一种秘密功能:它有一个后门,会每隔72小时就把你所有的短讯都发送到中国。
从事安全工作的承包商最近在一些安卓(Android)手机上发现了预装软件,这种软件监视用户去过哪里,他们与什么人聊过天,他们在短讯中写了什么。
受这种软件影响最大的是国际客户、临时手机用户以及预付话费的用户。但还不清楚其影响范围有多大。这个软件是中国的上海广升信息技术有限公司(Adups)编写的,该公司称其代码在超过七亿部手机、汽车和其他智能设备上运行。美国手机制造商BLU产品公司表示,其12万部手机受到影响,公司已更新了软件,删除了这个功能。
发现该漏洞的信息安全公司Kryptowire说,广升的软件将短讯的全文、联系人名单、通话记录、位置信息,以及其他数据传输到一个中国的服务器上去。Kryptowire副总裁汤姆.卡拉吉安尼斯(Tom Karygiannis)说,代码是预装在手机上的,但没有向用户披露这种监视功能,Kryptowire公司位于维吉尼亚州的费尔法克斯。“即使你想知道,你也不可能知道有这个东西,”他说。
虽然信息安全专家经常在消费者电子产品中发现漏洞,但这次的情况很特别。这不是一个程序错误。相反,据广升向BLU高管提供的解释这个问题的文件,广升有意设计了这个软件,以帮助中国手机制造商监视用户行为。广升表示,带有上述功能的软件版本原本不是为美国手机写的。
“这是家犯了错误的私人公司,”加利福尼亚州帕洛阿尔托的律师林丽丽(Lily Lim)说,她是广升的法律代理。 这个问题的核心是一种被称为“固件”的特殊类型软件,固件告诉手机如何进行操作。广升提供的代码让公司能远程更新其固件,这是一个用户基本上看不到的重要功能。通常,当手机制造商更新其固件时,它会告诉用户做了什么,也会告诉用户它是否将使用个人信息。尽管用户通常对这种很长的法律声明文本毫不关心,但毕竟告知了用户。广升的软件则未作有关声明,Kryptowire说。
由于广升尚未发布受影响手机的名单,目前不清楚用户如何能确定他们的手机是否有问题。“有点技术能力的人也许能自己解决,”Kryptowire副总裁卡拉吉安尼斯说。“但一般的消费者怎么办?他们没有办法。”
林丽丽说,她不知道用户怎样能确定他们是否受到影响。
广升还提供被称为“大数据”的服务,帮助公司研究其客户,“更好地了解他们,了解他们喜欢什么、他们使用什么、他们从哪里来,还有他们的喜好,以为他们提供更好的服务,”公司的网站说。
Kryptowire发现这个问题的过程既带有偶然性,也受到好奇心的驱使。卡拉吉安尼斯说,公司的一名研究员为一次海外旅行买了一部便宜的BLU R1 HD手机。在设置手机时,这名研究人员注意到不寻常的网路活动。据Kryptowire的报告,在接下来的一周里,分析师注意到该手机在向位于上海的一个服务器发送短讯内容,该服务器注册在广升名下。
新三板公司紧急停牌
11月18日,上海广升发布紧急公告,宣布公司股票自 2016 年 11 月 21日起停牌,停牌期间公司将积极对报道中的情况进行调查,并根据调查情况及时履行信息披露义务。
上海广升信息技术股份有限公司(以下简称“公司”)因查阅到有关媒体对公司业务的相关报道,可能对股票转让价格产生较大影响,为维护投资者权益,避免公司股价异常波动,根据《全国中小企业股份转让系统业务规则(试行)》、《全国中小企业股份转让系统挂牌公司暂停与恢复业务指南(试行)》等有关规定,经本公司向全国中小企业股份转让系统有限公司申请,本公司股票自 2016 年 11 月 21日起停牌。停牌期间公司将积极对报道中的情况进行调查,并根据调查情况及时履行信息披露义务,每十个转让日披露一次未能复牌的原因和相关事项的进展情况。
特此公告。
同时,广升向媒体发布声明称2016年6月,Blu Product部分机型应用了广升特定版本的空中固件下载应用。由于疏忽,其中包含了广升为其他客户提供的垃圾广告及电话拦截功能,当Blu Product提出异议时,广升立即采取措施终止了这项功能。
就近期媒体有关报道,我公司声明如下:
上海广升信息技术有限公司(下称:广升)是一家为用户提供专业空中固件下载(Firmware Over-The-Air)及更新服务的企业。我们提供的云服务涉及云主机、CDN以及允许制造商更新其所有设备模型的服务。我们的客户包括全球智能设备制造商、移动运营商、以及半导体厂商。
为了确保广升的空中固件下载应用能够为设备提供精准的更新和服务,我们采集了机型信息、设备状态、应用信息、bin/xbin信息、电话短信的汇总信息,以便验证相关更新和服务是否送达至指定设备。同时,在传输过程中广升使用https并且多重加密以确保数据安全。自公司成立以来,广升的空中固件下载应用非常重视用户及客户的安全隐私,始终不断地丰富更多用户功能和加强用户安全保护。
关于客户对拦截垃圾广告和电话的需求,客户的期望是广升能够提供一种用以标注垃圾广告和电话的方式。因此,我们开发了一个相关的解决方案,并且可以在广升的空中固件下载应用中使用。该定制化的版本将采集短信内容以满足部分国内品牌客户手机智能短信模块的需求,通过后端的批量数据分析,智能识别垃圾短信、公众服务号码并进行短信分类,从而改善手机体验。收集短信发送信息的目的是为识别恶意扣费的短信通道号。该功能如果检测到特定的关键词或者非用户通讯录中的电话号码时就会作出相应标注。
2016年6月,Blu Product部分机型应用了广升特定版本的空中固件下载应用。由于疏忽,其中包含了广升为其他客户提供的垃圾广告及电话拦截功能,当Blu Product提出异议时,广升立即采取措施终止了这项功能。随后,广升为Blu Product更新了相关应用,并通过了Kryptowire的测试。此外,广升不仅正在与Blu Product和谷歌协同合作,用来确保这种拦截垃圾广告和电话的功能不会在升级后的Blu 手机上出现,还将继续深化合作从而进一步加强其产品的用户安全隐私。在此,广升诚挚地向合作伙伴及用户表示歉意。今后,我们将严格进行流程管控,为合作伙伴和客户提供最优质产品及服务,为消费者打造世界领先的物联网终端管理云平台。