Amerykanie demaskują chińskie firmware: regularnie wysyła dane do producenta (aktualizacja)
Rosnąca popularność tanich chińskich smartfonów, czy wręcz zalew nimi europejskiego, a nawet amerykańskiego rynku, to woda na młyn dla miłośników teorii spiskowych, którzy upatrują się w tym trendzie początek powszechnej mandaryzacji Zachodu. Mimo że taka interpretacja wydaje się przesadzona, a zachodnimi gustami steruje raczej portfel i stosunek ceny do jakości, to upublicznione przez grupę Kryptowire dane mogą być niepokojące.
Należy zaznaczyć, że samo Kryptowire w ewentualnej konfrontacji cywilizacji nie pozostaje bezstronne. Firma powstała w 2011 roku przy współudziale Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i od tego czasu realizuje na jego zamówienie badania i analizy. Najnowsze odkrycie ma być jednak całkowicie niezależne od amerykańskich służb.
Kryptowire odkryło mianowicie, że preinstalowane na chińskich smartfonach firmware, wyprodukowane przez korporację Shanghai Adups Technology, rażąco narusza prywatność użytkowników. Nieznana jest skala zjawiska, ani jakie dokładnie modele urządzeń są narażone – Adups chwali się, że dostarcza oprogramowanie na 700 mln urządzeń różnej klasy, w tym ZTE i Huawei (vide aktualizacja – przyp. red.), łącznie z samochodami. Wyniki badań potwierdził producent smartfonów BLU: w jego przypadku szpiegujące firmware trafiło na 120 tys. urządzeń, które zostały już zaktualizowane OTA.
Dostarczane przez Adups firmware, ma regularnie wysyłać do producenta szczegółowe dane o użytkowniku, takie jak lokalizacja, numer IMEI, ale także kompletną kopie SMS-owej korespondencji, listę kontaktów oraz historię połączeń. Jakby tego było mało, Adups jest zdolne do identyfikacji użytkowników po słowach kluczowych, a nawet zdalnej instalacji oprogramowania.
To oczywiście wzbudziło podejrzenie amerykańskich służb. Jak informuje New York Times, Amerykanie nie są w stanie określić, czy dane były zbierane w celach komercyjnych, czy też wykorzystywane przez chiński wywiad. Do sprawy ustosunkowała się także Lily Lim, która reprezentuje Adups w USA.
Według informacji, jakie zostały jej przekazane przez klienta, firmware zbierało wrażliwe dane na potrzeby… podwyższania jakości obsługi klienta, między innymi w celu identyfikacji problemów technicznych z urządzeniami. Jednocześnie stwierdza ona, że Adups to tylko prywatna korporacja, która popełniła błąd, ale nie ma podstaw, by łączyć jej działalność z władzami w Pekinie.
Aktualizacja, 17.11.2016 r.
Otrzymaliśmy stanowisko ZTE, według którego na żadnym urządzeniu wyprodukowanym przez tą firmę nie znalazło się firmware Adups.
Swoje oświadczenie w sprawie ustaleń Kryptwire nadesłało także Huawei, również całkowicie odżegnując się od partnerstwa z Shanghai Adups Technology:Huawei bardzo poważnie traktuje kwestię prywatności i bezpieczeństwa klientów, wkłada też bardzo dużo pracy, aby nie były one w żaden sposób naruszone. Informujemy również, że firma wymieniona w niniejszym raporcie nie figuruje na naszej liście zatwierdzonych dostawców i nigdy nie byliśmy związani biznesowo z wymienionym podmiotem.
Oczywiście nie oznacza to, że szpiegujące firmware nie mogło znaleźć się na tych smartfonach. Z Adups współpracowały najpewniej firmy trzecie, nieoficjalni dystrybutorzy, zajmujący się eksportem na rynek amerykański. ZTE i Huawei deklarują, że smartfony zakupione w ramach oficjalnych kanałów dystrybucji, nie posiadają firmware Adups.