[Δεν] πέφτουν από τα σύννεφα στην Κίνα: Λογισμικό κατασκοπείας στα smartphones

Remix image.

Remix φωτογραφία.

Η Kryptowire, μια εταιρεία ασφαλείας, προσδιόρισε πέρυσι διάφορα μοντέλα κινητών συσκευών Android που έχουν προεγκατεστημένο μόνιμο λογισμικό, γνωστό ως firmware, το οποίο λειτουργεί ως backdoor που συλλέγει ευαίσθητα προσωπικά δεδομένα, όπως μηνύματα κειμένου, θέση στο χάρτη, λίστες επαφών, αρχεία καταγραφής κλήσεων και τα μεταδίδει σε διακομιστή τρίτου στη Σαγκάη της Κίνας.

Χωρίς τη συγκατάθεση των χρηστών, ο κώδικας μπορεί να παρακάμψει το μοντέλο άδειας Android. Αυτό θα μπορούσε να επιτρέψει σε όσους ενδιαφέρονται για δεδομένα ενός χρήστη κινητού τηλεφώνου – από κυβερνητικούς αξιωματούχους έως κακόβουλους χάκερ – να εκτελέσουν απομακρυσμένες εντολές με δικαιώματα συστήματος, ακόμη και να επαναπρογραμματίσουν τις συσκευές.

Το firmware αναπτύχθηκε από την κινεζική εταιρεία Shanghai ADUPS Technology Company. Η ADUPS επιβεβαίωσε την έκθεση με μια δήλωση, που εξηγεί ότι το λογισμικό ήταν μια «λύση» σε μια απαίτηση Κινέζου κατασκευαστή κινητών τηλεφώνων να “επισημάνει άχρηστα κείμενα και κλήσεις”, ανταποκρινόμενος στη ζήτηση των χρηστών. Είπε ότι τα συλλεχθέντα μηνύματα θα αναλύονταν για να “εντοπίσουν άχρηστα κείμενα” και “να βελτιώσουν την εμπειρία κινητής τηλεφωνίας”.

Η έρευνα της Kryptowire αποκαλύπτει ότι οι συλλεγείσες πληροφορίες προστατεύονταν με πολλαπλά επίπεδα κρυπτογράφησης και στη συνέχεια μεταδίδονταν μέσω ασφαλών πρωτοκόλλων ιστού σε διακομιστή που βρίσκεται στη Σαγκάη. Η διαβίβαση δεδομένων πραγματοποιούνταν κάθε 72 ώρες για τα μηνύματα κειμένου και τις πληροφορίες καταγραφής κλήσεων και κάθε 24 ώρες για άλλες προσωπικά αναγνωρίσιμες πληροφορίες.

Η ADUPS εξήγησε ότι το “προσαρμοσμένο” firmware ενσωματώθηκε κατά λάθος σε 120.000 κινητά προϊόντα ενός Αμερικανού κατασκευαστή τηλεφώνων, της BLU Products. Αφού η BLU έθεσε το ζήτημα, η ADUPS εξήγησε ότι το λογισμικό δεν σχεδιάστηκε για αμερικανικά τηλέφωνα και απενεργοποίησε το πρόγραμμα σε κινητά τηλέφωνα Blu.

Η είδηση είχε αναφερθεί ευρέως στα ξένα ΜΜΕ, καθώς η ADUPS είναι ένας από τους μεγαλύτερους προμηθευτές firmware στον κόσμο. Η εταιρεία παρέχει μια πλατφόρμα cloud για διαχείριση κινητών συσκευών σε περισσότερους από 700 εκατομμύρια ενεργούς χρήστες σε 200 χώρες, που ισοδυναμεί με το 70% του παγκόσμιου μεριδίου αγοράς, καθώς συνεργάζεται στενά με τους μεγαλύτερους παγκοσμίως φτηνούς κατασκευαστές κινητών τηλεφώνων ZTE και Huawei, οι οποίοι έχουν κι οι δυο έδρα στην Κίνα. Μόνο το 2015, η Huawei πώλησε περισσότερα από 100 εκατομμύρια smartphones.

Οι Κινέζοι χρήστες του διαδικτύου δεν έχουν εκπλαγεί από τα νέα. Οι εκθέσεις σχετικά με spyware που έχει προεγκατασταθεί σε κινεζικές μάρκες κινητής τηλεφωνίας έχουν κυκλοφορήσει εδώ και πολλά χρόνια σε σινόφωνες κοινότητες της ηπειρωτικής χώρας και του εξωτερικού. Το 2014, το Hong Kong Android Magazine ανέφερε ότι τα smartphones της Xiaomi που σχεδιάστηκαν για υπερπόντιες αγορές συνδέονταν αυτόματα σε μια IP στο Πεκίνο και ότι όλα τα έγγραφα, τα αρχεία SMS και τα αρχεία βίντεο που μεταφορτώθηκαν μεταδίδονταν σε διακομιστή του Πεκίνου.

Το 2015, η εταιρεία ασφάλειας G-Data με έδρα τη Γερμανία διαπίστωσε επίσης ότι τουλάχιστον 26 μάρκες κινητής τηλεφωνίας Android είχαν προεγκατεστημένο λογισμικό spyware στα smartphone τους. Οι τρεις μεγαλύτεροι Κινέζοι κατασκευαστές smartphone, οι Xiaomi, Huawei και Lenovo, ήταν όλοι μέσα στον κατάλογο.

Ο πρόσφατα ψηφισμένος νόμος της Κίνας για την Ασφάλεια Δικτύων έχει παράσχει νόμιμο έδαφος για τη λειτουργία backdoor στα smartphone. Ο νόμος απαιτεί από τους “φορείς εκμετάλλευσης σημαντικών υποδομών πληροφοριών” να αποθηκεύουν “προσωπικές πληροφορίες και άλλα σημαντικά επιχειρηματικά δεδομένα” των χρηστών στην Κίνα.

Άλλοι νόμοι, όπως το νομοσχέδιο [ακόμη] για την προστασία του παιδιού, απαιτούν επίσης εταιρείες λογισμικού να προεγκαταστήσουν λογισμικό επιτήρησης σε συσκευές επικοινωνίας και να νομιμοποιήσουν συγκεκριμένες προσεγγίσεις για τη θεραπεία του εθισμού στο Διαδίκτυο, όλα προς το συμφέρον της προστασίας των παιδιών.

Εκτός από την επιτήρηση ιδιωτικών δεδομένων όπως απαιτείται από το νόμο, οι Κινέζοι χρήστες Android κάνουν τακτικά λήψη εφαρμογών Android από ανεπίσημες αγορές εφαρμογών τρίτων, από τότε που η Google έφυγε από την Κίνα το 2010. Αυτές οι αγορές Android πλημμυρίζουν με εφαρμογές που περιέχουν κακόβουλο λογισμικό, που μπορεί να κλέψει και να χειριστεί προσωπικά δεδομένα .

Στις 16 Νοεμβρίου, οι New York Times ανέφεραν ότι οι αμερικανικές Αρχές δηλώνουν ότι δεν είναι σαφές εάν πρόκειται για εκλεκτική εξόρυξη δεδομένων για διαφημιστικούς σκοπούς ή για προσπάθεια της κινεζικής κυβέρνησης για τη συλλογή πληροφοριών.

Σχετικά με τις ειδήσεις, πολλοί Κινέζοι νέοι επισημαίνουν την καταχρηστική χρήση των προσωπικών δεδομένων και ότι η κυβερνητική παρακολούθηση έχει γίνει ο κανόνας.

信息泄露人们早就见惯了,即使是被Gov监视人们也不会在意。we are nobody.

Είμαστε τόσο συνηθισμένοι στη διαρροή προσωπικών δεδομένων. Δεν μας ενδιαφέρει πλέον η κρατική παρακολούθηση. Είμαστε ένα τίποτα.

Ξεκινήστε τη συζήτηση

Συντάκτες, παρακαλώ σύνδεση »

Οδηγίες

  • Όλα τα σχόλια ελέγχονται. Μην καταχωρείτε το σχόλιο σας πάνω από μία φορά γιατί θα θεωρηθεί spam.
  • Παρακαλούμε, δείξτε σεβασμό στους άλλους. Σχόλια τα οποία περιέχουν ρητορική μίσους, προσβολές ή προσωπικές επιθέσεις δεν θα καταχωρούνται.