Predinštalovaný backdoor v čínskych smartfónoch posiela informácie do Číny

Čínske smartfóny, ktoré sa predávajú v obchodoch ako Amazon či BestBuy, obsahujú predinštalovaný backdoor, ktorý pravidelne posiela údaje do Číny. Backdoor bez vedomia majiteľov odosiela textové správy každých 72 hodín.

Niektoré zariadenia s operačným systémom Android v sebe majú predinštalovaný backdoor (aplikácia, ktorá umožňuje zneužitie rôznych funkcií telefónu, pričom užívateľ netuší absolútne nič). Tvrdí to spoločnosť Kryptowire, ktorá sa zaoberá práve bezpečnosťou mobilných zariadení. Podľa jej analytikov ide o backdoor, ktorý je súčasťou firmvéru. Znamená to, že sa do telefónu dostane už počas jeho výroby. Problém sa týka najmä značky BLU, ktorá sa zameriava na americký trh. Jej telefóny sa dajú kúpiť v internetových obchodoch, ako sú Amazon či BestBuy.

„Nakazený“ firmvér do telefónov dodáva čínska firma Shanghai AdUps Technology, ktorej softvér využíva vyše 700 miliónov zariadení. Podľa The New York Times sa problém týka 120-tisíc z nich.

Rizikové sú najmä „budgetové“ značky čínskych telefónov, no spolupracuje aj s veľkými výrobcami známymi na slovenskom trhu. Podľa The New York Times ide o firmy ZTE a Huawei, ktoré predávajú vo vyše 150 krajinách sveta. Spoločnosť Huawei poskytla nasledovné vyjadrenie:

“Pre Huawei sú súkromie a bezpečnosť zákazníkov prvoradé a stále pracuje na ich ochrane. Spoločnosť, ktorá je spomenutá v článku, nie je naším dodávateľom a nikdy sme s ňou nemali obchodné vzťahy.”

Upravený firmvér dokáže čítať SMS správy, zoznam kontaktov a hovorov, ako aj sledovať polohu zariadenia. Nakazený smartfón tieto informácie posiela spoločnosti AdUps každých 72 hodín. Ňou upravený firmvér navyše dokáže aj samovoľne inštalovať a aktualizovať aplikácie v telefóne.

Bežný užívateľ tento backdoor v podstate nedokáže odstrániť, pretože je pevnou súčasťou operačného systému.Konkrétne ide o systémové aplikácie s názvami  com.adups.fota.sysoper a com.adups.fota.

Experti na bezpečnosť často odhalia zraniteľnosť, ktorá sa do zariadení dostáva nedopatrením, tentoraz však nejde o bug, ale o úmyselné inštalovanie backdooru. Spoločnosť AdUps tak úmyselne nadizajnovala softvér, ktorý zbiera informácie o užívateľoch bez ich vedomia. Podľa amerických úradov nie je v tejto chvíli jasné, či sú dáta zbierané na reklamné účely (cielená reklama na jednotlivca), alebo slúžia na vládne sledovanie (government surveillance).

Právnička Lily Lim z kalifornského Palo Alto, ktorá zastupuje AdUps, sa pre New York Times vyjadrila, že „je to chyba súkromnej spoločnosti“.

Spoločnosť BLU Products zas tvrdí, že „identifikovali a okamžite odstránili tento bezpečnostný problém zapríčinený aplikáciou z tretej strany“.

Kryptowire okrem BLU Products okamžite upovedomila Google, AdUps, ako aj predajcu týchto zariadení – Amazon, ktorý je exkluzívnym dodávateľom modelu BLU R1 HD.

Google už vydal vyhlásenie, že spoločnosť pracuje so všetkými dotknutými stranami na náprave.

Zoznam funkcií, ktoré mohli nakazené telefóny samovoľne vykonávať.

  • Zbierať a odosielať:
    • SMS správy na servery AdUps každých 72 hodín,
    • zoznamy hovorov na servery AdUps každých 72 hodín,
    • súkromné informácie (PII) na servery AdUps každých 72 hodín,
    • polohu každého zariadenia.
  • Získať informácie o jednotlivých zariadeniach (IMSI a IMEI identifikátory).
  • Sťahovať, inštalovať, aktualizovať a odstraňovať aplikácie bez užívateľovho vedomia.
  • Automaticky aktualizovať softvér zariadenia.
  • Vykonávať vzdialené príkazy bez toho, aby na to dal majiteľ zariadenia povolenie.

(FB)