Óriási backdoort (hátsó ajtót) találtak egy olyan firmware-ban, amelyet gyárilag telepítenek rengeteg olcsó androidos telefonra. A biztonsági rés lehetővé teszi, hogy a készülék adatokat gyűjtsön a felhasználóról annak tudta nélkül.

A problémára, amely állítólag az olcsó kínai okostelefonokat érinti, a Kryptowire nevű mobil biztonsági cég hívta fel a figyelmet. A kutatók azután kezdtek vizsgálódni, hogy szokatlan aktivitást észleltek egy Blu R1 HD telefonon. Kiderült, hogy a készülék 72 óránként adatokat küld egy kínai vállalatnak, a Shanghai Adups Technologynak. Ez a cég „big data” vállalatként jellemzi magát, amelyik együttműködik az okostelefon-gyártókkal, hogy segítsen megérteni felhasználóik viselkedési szokásait, és hogy honnan jönnek, no meg, hogy támogassák a felhasználókat, bár hogy ez utóbbi kitétel mit jelenthet, az nem tisztázott.

Blu R1 HD: az egyik kompromittált telefonmodell

Blu Products

A szoftver által küldött adatok között olyanok vannak, mint a szöveges üzenetek, a helykoordináták, híváslisták telefonszámokkal, a telepített appok listája, illetve a mobilelőfizető-azonosító és a mobilkészülék-azonosító információk. A backdoor, amelyre már más biztonsági szakemberek is felhívták a figyelmet, arra is használható, hogy megkerülve a telefon biztonsági intézkedéseit, akár átprogramozzák a készüléket.

A kompromittált eszközök pontos száma nem ismert, de szeptemberben az Adups azt állította a honlapján, hogy 700 millió aktív felhasználója van világszerte, és firmware termékeit több mint 400 vezető mobilszolgáltató, készülék- és félvezetőgyártó integrálta a viselhető és mobileszközöktől kezdve az autókon át egészen a televíziókig.

A Blu cég 120 ezerre becsüli saját, érintett eszközeinek számát, és már ki is adott egy szoftverfrissítést, amely eltávolítja a hátsó ajtót. Az Amazon korábban már eltávolította az oldaláról a Blu telefonokat, de a szoftverfrissítést követően várhatóan visszakerülhetnek ezek a készülékek.

Minthogy rengeteg személyes adatot osztunk meg a telefonunkkal, a Kryptowire figyelmezteti a felhasználókat, hogy legyenek tisztában azzal, hogy hol készült a telefonjuk. Igaz, az Adups nem részletezte, milyen telefonokról van szó, de ha olcsó kínai készülékünk van, akkor azért gyanakodjunk. A Kryptowire azt is sürgeti, hogy a gyártók nagyobb gondot fordítsanak az átláthatóságra az ellátási lánc minden pontján.