Những chiếc điện thoại thông minh rẻ tiền, nhưng không rẻ

0
© Provided by CNET Josh Miller/CNET

Với mức giá 60 đô la, Blu R1 HD là điện thoại bán chạy nhất trên Amazon. Tháng 11 năm ngoái, các nhà nghiên cứu đã bắt được nó bí mật gửi dữ liệu cá nhân tới Trung Quốc.

Công nghệ Shanghai Adups, nhóm đứng đằng sau phần mềm gián điệp trên Blu R1 HD, nói đó là một sai lầm. Tuy nhiên, các nhà phân tích tại Kryptowire nhận thấy rằng nhà cung cấp phần mềm vẫn “mắc lỗi” trên các điện thoại khác.

Các nhà nghiên cứu từ Kryptowire, một công ty an ninh, cho biết phần mềm của Adups vẫn đang gửi dữ liệu của một thiết bị đến máy chủ của công ty tại Thượng Hải mà không báo trước cho người khác. Nhưng bây giờ, nó bí mật hơn.

Ryan Johnson, kỹ sư nghiên cứu và đồng sáng lập của Kryptowire, nói: “Họ thay thế chúng bằng các phiên bản đẹp hơn. “Tôi đã chiếm được mạng lưới giao thông của họ bằng cách sử dụng lệnh và kiểm soát kênh khi họ làm.”

Người phát ngôn của Adups nói với thời sự quốc tế rằng công ty đã giải quyết các vấn đề vào năm 2016 và các vấn đề này “không còn tồn tại nữa”.

Kryptowire cho biết họ đã quan sát thấy Adups gửi dữ liệu mà không nói với người dùng trên ít nhất ba điện thoại khác nhau.

Hội nghị Black Hat năm nay trong bối cảnh, báo cáo hàng năm về vụ tấn công của Nga và xâm nhập vào cuộc đua tổng thống năm 2016, cũng như tin tức trong vài tháng gần đây về các ransomware tấn công máy tính của người khác, để mở khóa (nếu bạn ‘May mắn) với một khoản phí.

Mọi người có đủ để lo lắng khi nói đến sự riêng tư trên thiết bị cá nhân của họ. Giữa sự giám sát của chính phủ và các lỗ hổng bảo mật, phần mềm cài đặt sẵn trên điện thoại chính là một sự vi phạm bất ngờ về sự tin tưởng lẫn sự riêng tư của hàng triệu chủ nhân chỉ cần một chiếc điện thoại rẻ tiền.

‘Một cuộc xâm lược riêng tư khổng lồ’

Có quyền truy cập vào lệnh và kênh điều khiển, một tuyến đường liên lạc giữa thiết bị của bạn và máy chủ cho phép Adups thực hiện các lệnh như người dùng, có nghĩa là nó cũng có thể cài đặt ứng dụng, chụp màn hình, ghi lại màn hình, gọi điện và lau dọn thiết bị mà không cần sự cho phép.

Johnson cho biết với thời sự quốc tế rằng: “Nó dường như là một cuộc xâm lược khổng lồ về sự riêng tư.

Kryptowire đã xem xét hơn 20 phần mềm cơ bản từ các thiết bị Android cấp thấp, tất cả đều có lỗ hổng cho phép các ứng dụng spyware và tất cả đều có chipset MediaTek. Chipset luôn đi kèm với một ứng dụng được cài đặt trước gọi là MTKLogger, cho phép giám sát dữ liệu như lịch sử duyệt web của bạn và vị trí GPS nếu nó bị cướp.

MediaTek cho biết họ đã giải quyết vấn đề này vào tháng 11, nhưng các nhà nghiên cứu tại Kryptowire đã phát hiện ra rằng tuần trước Blu Advance 5.0 vẫn còn với một phiên bản dễ bị tổn thương. Ông Johnson cho biết chiếc điện thoại này là chiếc điện thoại bán chạy thứ ba trên Amazon, không có bản cập nhật phần mềm để ngăn chặn một vụ tấn công tiềm năng.

Nó hoạt động thông qua một cái gì đó được gọi là “leo thang đặc quyền”, cho phép ở cấp độ cao một số ứng dụng vượt xa những gì bạn muốn nó có. Kryptowire chưa tìm thấy trường hợp nào, trong đó MTKLogger đã bị tấn công, nhưng tính dễ bị tổn thương vẫn tồn tại.

Kryptowire ban đầu phát hiện ra tính chất gián điệp của Adups vào tháng 10 năm ngoái. Sau khi được tiết lộ, Adups đã gỡ bỏ việc theo dõi dữ liệu trên các thiết bị như Blu R1 HD và Blu Life One X2, hai điện thoại phổ biến trên Amazon vì giá rẻ. Đối với hai thiết bị này, Adups ngừng gửi tin nhắn văn bản và nhật ký cuộc gọi đến Trung Quốc kể từ đó.

Blu đã không trả lời yêu cầu bình luận.

Vấn đề lan rộng

Johnson chỉ phát hiện ra dữ liệu bí mật của Adups đổ vào Trung Quốc vì nó là điện thoại bán chạy nhất trên Amazon, nhưng vấn đề vẫn phổ biến trên các thiết bị cấp thấp. Vào tháng 5, anh đã mua một chiếc Blu Grand M từ Best Buy, với giá từ 60 đến 75 đô la.

Sáu tháng sau khi Adups cho biết họ đã mắc sai lầm trong việc theo dõi dữ liệu, Johnson phát hiện ra rằng nó vẫn đang xảy ra trên Blu Grand M. Tháng 5, ông phát hiện chiếc điện thoại đang gửi dữ liệu tới Trung Quốc có chứa một danh sách các ứng dụng được cài đặt, Các số nhận dạng điện thoại duy nhất như địa chỉ MAC và IMEI, số điện thoại và ID tháp điện thoại di động.

Nó không theo dõi GPS trên điện thoại của bạn, nhưng dữ liệu tháp điện thoại di động gần đủ để được chấp nhận là bằng chứng trong các vụ án giết người và đã gây tranh cãi lớn về bảo mật kỹ thuật số.

Johnson nói: “Nó thường có thể định vị một người, giả sử họ đang ở trong một khu đô thị.

Mức độ gián điệp gián điệp của Adups thay đổi theo điện thoại, nhưng nó được cài đặt sẵn trên 700 triệu thiết bị, bao gồm xe hơi và các thiết bị kết nối khác. Một số gián điệp hung hăng hơn sẽ gửi lịch sử duyệt web và các trang web đánh dấu.

Johnson cho biết ông không tìm thấy phần mềm gián điệp trên bất kỳ điện thoại nào có giá hơn 300 đô la, vì hầu hết các thiết bị Adups được cài đặt trên thiết bị rẻ hơn. Nó không chỉ trên các thiết bị Blu, như Johnson tháng năm cũng tìm thấy exfiltration dữ liệu trên Cubot X16S.

Điện thoại Trung Quốc, bán với giá từ 90 đến 110 đô la, đã gửi bản ghi cuộc gọi, lịch sử trình duyệt và dữ liệu vị trí sau lưng người dùng. Cubot đã không trả lời yêu cầu bình luận.

Johnson cho biết: “Dường như khá phổ biến trong các điện thoại cấp thấp hơn.

Johnson đã kiểm tra lại phần mềm của Cubot X16S vào thứ hai và phát hiện ra rằng Adups đã lặng lẽ gỡ bỏ ứng dụng backdoor trên thiết bị, ngay sau khi CNET tiếp cận công ty.

Vẫn chưa rõ ràng điều gì sẽ xảy ra với dữ liệu khi nó ở trên các máy chủ ở Trung Quốc. Khi Johnson liên lạc với Adups, công ty cho biết họ sẽ xóa dữ liệu. Kryptowire đã có thể theo dõi dữ liệu đến nơi nó đã kết thúc, nhưng không phải là những gì đã được thực hiện với nó.

 

BÌNH LUẬN

Please enter your comment!
Please enter your name here