Компания Kryptowire, специализирующая на безопасности, недавно выявила [анг] несколько моделей мобильных устройств, работающих на базе Android, на которые предварительно был установлен софт, иначе известный как прошивка. Данное ПО выполняет роль бэкдора, который собирает персональные данные пользователя, включая SMS, геолокацию, список контактов, историю вызовов, и передает их на сторонний сервер в Шанхае, Китай.
Таким образом, код может обойти модель доступа Android без согласия пользователя, что позволит каждому заинтересованному лицу — от государственных деятелей до злоумышленников — выполнять удаленные команды в системе с широкими полномочиями и даже перепрограммировать устройства.
Прошивка была разработана китайской компанией Shanghai ADUPS Technology Company. ADUPS подтвердила отчет [анг], объясив, что ПО стало «решением» для китайских производителей телефонов, стремящихся, в ответ на просьбы потребителей, «распознавать спам среди сообщений и звонков». Согласно компании, полученные сообщения должны были «анализироваться на наличие спама» с целью «улучшения качества мобильных услуг».
Исследование, проведенное Kryptowire, показало, что собранная информация была защищена несколькими слоями шифрования и затем передавалась по защищенным сетевым протоколам на сервер, расположенный в Шанхае. Передача данных касательно SMS и истории вызовов совершалась каждые 72 часа, в то время как другая личная информация передавалась каждые 24 часа.
Согласно ADUPS, «предназначенная» для Китая прошивка была случайно встроена в 120 000 мобильных устройств американского производителя телефонов BLU Products. После того как компания BLU подняла данный вопрос, ADUPS пояснила, что ПО не было разработано для американских телефонов, и дезактивировала программу на устройствах BLU.
Эта новость широко освещалась в зарубежных СМИ, так как ADUPS является одним из крупнейших провайдеров FOTA (технологий удаленного обновления прошивки) в мире. Компания предоставляет облачную платформу для управления мобильными устройствами более чем 700 миллионам активных пользователей в 200 странах (70% мирового рынка), поскольку тесно сотрудничает с крупнейшими компаниями, производящими бюджетные мобильные телефоны: ZTE и Huawei, обе расположены в Китае. Huawei в одном только 2015 году продала более 100 миллионов смартфонов.
Китайские пользователи интернета не были удивлены новостями. Отчеты о шпионских программах, заранее встроенных в устройства китайских производителей телефонов, в течение многих лет циркулировали среди китайского населения как на материке, так и за границей. В 2014 году Hong Kong Android Magazine [кит] сообщил, что смартфоны Xiaomi, разработанные для зарубежных рынков, автоматически подключались к IP-адресу в Пекине. Кроме того, все документы, SMS, история вызовов и загруженные видеофайлы передавались на сервер в Пекине.
В 2015 году немецкая компания G-Data, специализирующаяся на IT-безопасности, также обнаружила, что как минимум 26 мобильных брендов, работающих на базе Android, заранее установили шпионские программы [анг] на свои смартфоны. В список вошли три крупнейших китайских производителя смартфонов: Xiaomi, Huawei и Lenovo.
Недавно принятый в Китае закон о кибербезопасности обеспечил законное основание для использования бэкдора в смартфонах. Согласно китайскому закону, операторы информационной инфраструктуры, располагающие «потенциально важной информацией», обязаны хранить «персональные данные и другую важную бизнес-информацию» в Китае.
Другие законы, такие как законопроект о защите детей (до сих пор в черновом варианте), также требуют, чтобы компании, производящие аппаратуру, заранее устанавливали программы слежения на устройства связи и легализовали особый подход к лечению интернет-зависимости — всё в интересах защиты детей.
С тех пор как в 2010 году Google перестал сотрудничать с Китаем, в дополнение к закону о хранении персональных данных, китайские пользователи телефонов на базе Android регулярно загружают мобильные приложения с неофициальных рынков. Эти рынки Android [кит] заполнены приложениями, которые содержат вредоносные программы, способные похитить личные данные и управлять ими.
16 ноября The New York Times сообщила [анг], что, по словам американских властей, непонятно, является ли это добычей секретной информации в целях рекламы или же попыткой китайского правительства собрать сведения.
В ответ на новости многие китайские интернет-пользователи отмечают, что чрезмерное использование персональных данных и слежка со стороны государства уже стали нормой.
信息泄露人们早就见惯了,即使是被Gov监视人们也不会在意。we are nobody.
Мы так привыкли к утечке персональных данных. Мы уже не обращаем внимания на слежку со стороны государства. Мы никто.
Переводчик: Алина Веригина