Hơn 700 triệu điện thoại Android bí mật gửi dữ liệu người dùng cho Trung Quốc

By | 11:29 pm | 16/11/2016

android-phone-send-data-china

Các nhà nghiên cứu bảo mật của Kryptowire đã phát hiện ra một ‘ giấu trong phần mềm của công ty Công Nghệ AdUps(Trung Quốc) dành cho điện thoại Android được bán tại Hoa Kỳ, mà cứ 72 giờ sẽ tự động gửi nội dung tin nhắn SMS, danh bạ, nhật ký cuộc gọi, dữ liệu vị trí và thông tin cá nhân người dùng đến AdUps mà người dùng không hay biết.

  • AdUps cung cấp phần mềm cho các nhà sản xuất thiết bị cầm tay lớn như ZTE và Huawei, và các công ty này bán điện thoại Android của họ trên hơn 150 quốc gia và khu vực.
  • Theo các nhà chức trách Mỹ, ‘ được cho là có chủ ý hoặc do một lỗ hổng bảo mật. Và tại thời điểm này vẫn chưa rõ các dữ liệu thu thập cho mục đích quảng cáo hay theo dõi chính phủ.

Kryptowire cho biết công ty đã phát hiện ra ‘ trên điện thoại BLU R1 HD được bán bởi nhà sản xuất điện thoại thông minh Florida của BLU Products, chuyên bán các thiết bị của mình tại Hoa Kỳ và một số nước khác từ Nam Mỹ, trực tuyến thông qua Amazon và Best Buy.

‘S đã được phát hiện trong hai ứng dụng hệ thống – com.adups.fota.sysopercom.adups.fota – và chúng không thể bị vô hiệu hóa hoặc gỡ bỏ bởi người dùng.

Dựa trên các câu lệnh thu thập được, nhận thấy phần mềm chứa ‘ thực hiện các hoạt động:

  • Thu thập và gửi nội dung SMS đến máy chủ của AdUps mỗi 72 giờ.
  • Thu thập và gửi các bản ghi cuộc gọi đến máy chủ của AdUps mỗi 72 giờ.
  • Thu thập và Gửi thông tin cá nhân người dùng (PII) đến máy chủ của AdUps mỗi 24 giờ.
  • Thu thập và gửi định danh IMSI và IMEI của điện thoại.
  • Thu thập và gửi thông tin định vị.
  • Thu thập và gửi một danh sách các ứng dụng được cài đặt trên thiết bị của người dùng.
  • Tải về và cài đặt các ứng dụng mà không cần sự đồng ý hay hiểu biết của người dùng.
  • Cập nhật hoặc loại bỏ các ứng dụng.
  • Cập nhật phần sụn và đặt lại điện thoại.
  • Thực hiện lệnh từ xa với đặc quyền cao trên thiết bị của người dùng.

BLU Products khẳng định rằng có khoảng 120.000 điện thoại thông minh của công ty cài đặt phần mềm của AdUps, và các phần mềm của AdUps đang được gỡ bỏ từ các thiết bị của họ.

  • Công ty cho biết: “BLU Products đã xác định và nhanh chóng loại bỏ một vấn đề an ninh gần đây gây ra bởi một ứng dụng của bên thứ ba mà đã thu thập dữ liệu cá nhân trái phép ở dạng tin nhắn văn bản, nhật ký cuộc gọi và danh bạ từ khách hàng sử dụng các thiết bị di động của BLU.”

Bên cạnh BLU Products, Kryptowire đã thông báo cho Google, AdUps, cũng như Amazon (đó là các nhà bán lẻ độc quyền của BLU R1 HD).

Google cũng đã ban hành một tuyên bố nói rằng công ty đang làm việc với tất cả các bên bị ảnh hưởng để khắc phục ‘s‘ này.

Tuy nhiên, theo AdUps, phần mềm của AdUps không dự định đưa vào điện thoại thông minh tại thị trường Hoa Kỳ và đã được thiết kế chỉ để giúp các nhà sản xuất điện thoại Trung Quốc theo dõi hành vi người dùng.

Theo: The Hacker News.