“存話費(fèi)，送智能手機(jī)，只需 990！”

“預(yù)存 500 元話費(fèi)，手機(jī)免費(fèi)送！”

“全民狂歡，買(mǎi)就送！”

你是否曾對(duì)某些移動(dòng)通訊公司打出的此類(lèi)口號(hào)心動(dòng)不已，剁手不停呢？但如果你知道廉價(jià)安卓手機(jī)有可能泄露個(gè)人數(shù)據(jù)，還敢貪小便宜買(mǎi)買(mǎi)買(mǎi)嗎？

雷鋒網(wǎng)消息，不久前，在美國(guó)拉斯維加斯舉行的全球最為知名的黑客大會(huì) Black Hat 上，安全公司 Kryptowire 表示他們?cè)?/span>美國(guó)銷(xiāo)售的低端 Android 手機(jī) BLU 固件中發(fā)現(xiàn)了一個(gè)后門(mén)，會(huì)將用戶的大量私人信息，比如手機(jī)號(hào)碼、位置數(shù)據(jù)、短信內(nèi)容、呼叫信息、安裝和使用的應(yīng)用等等發(fā)送到提供固件的中國(guó)公司服務(wù)器上。

這只是失誤，無(wú)辜臉~

納尼？這不就是監(jiān)控！

而收集這些數(shù)據(jù)的還是中國(guó)公司，老美皺緊眉頭，覺(jué)得事情很不簡(jiǎn)單。

但提供固件的上海廣升信息技術(shù)有限公司表示自己也很無(wú)辜，這就是個(gè)失誤，而所謂軟件的監(jiān)視功能是為中國(guó)市場(chǎng)設(shè)計(jì)的，幫助中國(guó)手機(jī)制造商監(jiān)視用戶行為，不小心包含在美國(guó)銷(xiāo)售的 BLU 設(shè)備中。

還監(jiān)視自己人？

反正廣升就是咬定自己是一家私人公司，它的軟件運(yùn)行在全球超過(guò) 7 億臺(tái)設(shè)備上，包括手機(jī)、平板和車(chē)載娛樂(lè)系統(tǒng)，這些軟件被華為和中興的手機(jī)使用，也用于美國(guó)亞馬遜和百思買(mǎi)售價(jià) 50 美元的 BLU R1 HD廉價(jià) Android 智能手機(jī)。

你看，我們自己的牌子都在用，怎么會(huì)有專門(mén)監(jiān)視這一說(shuō)呢。中國(guó)政府收集情報(bào)？沒(méi)可能的。

但任他如何辯駁，已經(jīng)確定是，這個(gè)后門(mén)包含在固件的 OTA 更新軟件中，它以 JSON 格式向廣升的大數(shù)據(jù)服務(wù)器發(fā)送數(shù)據(jù)，這些服務(wù)器的域名包括了 bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn 和 bigdata.advmob.cn。

收集信息，到底有幾種姿勢(shì)？

BLU 固件后門(mén)事件只是個(gè)例，而折射出來(lái)的卻是對(duì)廉價(jià)智能手機(jī)安全性的擔(dān)憂。

掘金網(wǎng)的安卓開(kāi)發(fā)工程師涂鴉揭示了手機(jī)廠商收集信息的幾種可能。

第一，用了高版本的系統(tǒng)，但是故意留下了后門(mén)給自己用，比如 BLU 固件中被發(fā)現(xiàn)的后門(mén)。也就是說(shuō)，操作系統(tǒng)本身是沒(méi)有后門(mén)的，可能的是 BLU 的開(kāi)發(fā)人員利用了開(kāi)源的安卓系統(tǒng)，故意給自己寫(xiě)了后門(mén)。

“就像一直流傳的 Windows 留有后門(mén)收集用戶信息一樣，開(kāi)發(fā)人員自己寫(xiě)代碼編譯了操作系統(tǒng)，無(wú)論背后有什么，也只有天知地知自己知道了?！?br/>

第二，用了低版本的系統(tǒng)，明知有問(wèn)題不處理。

雷鋒網(wǎng)了解到，去年三月，谷歌曾發(fā)布過(guò)一次 root 權(quán)限安全漏洞的警告，它們將一個(gè)Linux內(nèi)核漏洞（編號(hào)為 CVE-2015-1805 )標(biāo)記為嚴(yán)重，而這起事件的導(dǎo)火索是有開(kāi)發(fā)者在 Play 商店上架了含有該漏洞代碼的軟件，導(dǎo)致一些用戶被強(qiáng)制獲取了 root 從而引發(fā)信息泄露問(wèn)題。

隨后，谷歌安全小組封鎖了這個(gè)能獲取 root 權(quán)限的高危 BUG，并在開(kāi)源項(xiàng)目版安卓系統(tǒng)上打上了補(bǔ)丁。

具體參考 2016年1月 Nexus 安全公告

https://source.android.com/security/bulletin/2016-02-01

“但當(dāng)時(shí)很多硬件廠商沒(méi)有給用戶提供升級(jí)，就可能會(huì)存在 root 權(quán)限漏洞的問(wèn)題。黑客如果通過(guò)這個(gè)漏洞拿到了 root 權(quán)限，用戶的個(gè)人信息就很危險(xiǎn)了。”

顯然，手機(jī)系統(tǒng)版本過(guò)低可能造成黑客攻擊。

對(duì)應(yīng)國(guó)內(nèi)一票廉價(jià)手機(jī)，過(guò)差的硬件導(dǎo)致無(wú)法支持高版本的安卓系統(tǒng)，只能裝低版本的系統(tǒng)，其中的漏洞成為誘惑黑客攻擊的一塊肥肉。

第三，用了低版本的系統(tǒng)，并不清楚有問(wèn)題，被別人利用了。

這種純屬手機(jī)廠商傻白甜，就不多做分析了。

而針對(duì)這次事件，究竟有多少部手機(jī)有泄露隱私可能呢？

 雷鋒網(wǎng)了解到，BLU 系列 12 萬(wàn)部手機(jī)受到影響，手機(jī)廠商方表示他們已經(jīng)更新了軟件，刪除了這個(gè)功能。

到底刪沒(méi)刪除誰(shuí)也不能肯定，反正亞馬遜已經(jīng)下線了所有 BLU 所有型號(hào)的產(chǎn)品。

BLU 已經(jīng)被打了一大半，但其他廉價(jià)手機(jī)呢，是否還在偷摸收集用戶信息？

反正，少去蹦迪，把錢(qián)花在手機(jī)上沒(méi)什么不好。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。