Các nhà nghiên cứu bảo mật từ Kryptowire đã phát hiện ra backdoor được cài đặt trong firmware của nhiều smartphone Android được bán tại Hoa Kỳ. Các backdoor này âm thầm tập hợp dữ liệu về người sở hữu điện thoại và gửi nó đến một máy chủ Trung Quốc mà người dùng không hay biết.
Báo cáo đầu tiên được đăng trên tờ New York Times hôm 15/11 vừa qua, phần mềm firmware backdoored được phát triển bởi công ty Công nghệ Adups Thượng Hải được cập nhật cho hơn 700 triệu thiết bị trên toàn thế giới.
Đáng chú ý là AdUps cũng cung cấp phần mềm cho các nhà sản xuất thiết bị cầm tay lớn, chẳng hạn như ZTE và Huawei. Thị trường cung cấp điện thoại Android của AdUps rộng khắp trên hơn 150 quốc gia và khu vực.
Bên cạnh chặn bắt nội dung tin nhắn SMS, danh bạ, nhật ký cuộc gọi, dữ liệu vị trí và thông tin người dùng, loại backdoor này cũng có khả năng cài đặt và cập nhật từ xa các ứng dụng trên smartphones.
Việc này được cho là hành vi có chủ đích chứ không phải vô tình, hoặc do một lỗ hổng bảo mật. Mặc dù, theo các nhà chức trách Mỹ, tại thời điểm này vẫn chưa rõ mục đích của việc thu thập dữ liệu trên cho mục đích quảng cáo hay giám sát của cơ quan chính phủ.
Các hoạt động mà backdoor thực hiện là:
- Thu thập và gửi văn bản SMS đến máy chủ AdUps mỗi 72 giờ.
- Thu thập và gửi các bản ghi cuộc gọi đến máy chủ AdUps mỗi 72 giờ.
- Thu thập và gửi thông tin định danh người dùng (Personally Identifiable Information-PII) đến máy chủ AdUps mỗi 24 giờ.
- Thu thập và gửi các định danh IMSI và IMEI của smartphones.
- Thu thập và gửi thông tin định vị.
- Thu thập và gửi danh sách các ứng dụng được cài đặt trên thiết bị của người dùng.
- Tải về và cài đặt các ứng dụng mà không cần sự đồng ý của người dung.
- Tự động cập nhật hoặc loại bỏ các ứng dụng.
- Cập nhật firmware của điện thoại và cài lại chương trình trên thiết bị.
- Thực hiện lệnh từ xa với quyền quản trị trên thiết bị của người dùng.
Kryptowire cho biết công ty đã phát hiện ra backdoor được cài trên thiết bị BLU R1 HD được bán bởi nhà sản xuất smartphones Florida của hãng BLU (Hãng chuyên bán sản phẩm tại Hoa Kỳ và một số nước khác từ Nam Mỹ, trực tuyến thông qua Amazon và Best Buy). Nó tồn tại trong hai ứng dụng hệ thống: com.adups.fota.sysoper và com.adups.fota. Đặc biệt, người dùng không thể vô hiệu hóa hoặc gỡ bỏ các phần mềm này.
Phản hồi của BLU cho biết, khoảng 120.000 smartphones của hãng có cài đặt phần mềm của AdUps hiện đang được gỡ bỏ. Bên cạnh đó, Kryptowire ngay lập tức thông báo cho Google, AdUps, cũng như Amazon, nhà bán lẻ độc quyền của BLU R1 HD về kết quả phân tích được.
Google cũng tuyên bố rằng công ty đang làm việc với tất cả các bên bị ảnh hưởng để kịp thời cập nhật bản vá, mặc dù Hãng chưa biết làm thế nào mà AdUps có thể phân phối phần mềm của nó một cách rộng rãi như vậy.
Báo cáo đầu tiên được đăng trên tờ New York Times hôm 15/11 vừa qua, phần mềm firmware backdoored được phát triển bởi công ty Công nghệ Adups Thượng Hải được cập nhật cho hơn 700 triệu thiết bị trên toàn thế giới.
Đáng chú ý là AdUps cũng cung cấp phần mềm cho các nhà sản xuất thiết bị cầm tay lớn, chẳng hạn như ZTE và Huawei. Thị trường cung cấp điện thoại Android của AdUps rộng khắp trên hơn 150 quốc gia và khu vực.
Bên cạnh chặn bắt nội dung tin nhắn SMS, danh bạ, nhật ký cuộc gọi, dữ liệu vị trí và thông tin người dùng, loại backdoor này cũng có khả năng cài đặt và cập nhật từ xa các ứng dụng trên smartphones.
Việc này được cho là hành vi có chủ đích chứ không phải vô tình, hoặc do một lỗ hổng bảo mật. Mặc dù, theo các nhà chức trách Mỹ, tại thời điểm này vẫn chưa rõ mục đích của việc thu thập dữ liệu trên cho mục đích quảng cáo hay giám sát của cơ quan chính phủ.
Các hoạt động mà backdoor thực hiện là:
- Thu thập và gửi văn bản SMS đến máy chủ AdUps mỗi 72 giờ.
- Thu thập và gửi các bản ghi cuộc gọi đến máy chủ AdUps mỗi 72 giờ.
- Thu thập và gửi thông tin định danh người dùng (Personally Identifiable Information-PII) đến máy chủ AdUps mỗi 24 giờ.
- Thu thập và gửi các định danh IMSI và IMEI của smartphones.
- Thu thập và gửi thông tin định vị.
- Thu thập và gửi danh sách các ứng dụng được cài đặt trên thiết bị của người dùng.
- Tải về và cài đặt các ứng dụng mà không cần sự đồng ý của người dung.
- Tự động cập nhật hoặc loại bỏ các ứng dụng.
- Cập nhật firmware của điện thoại và cài lại chương trình trên thiết bị.
- Thực hiện lệnh từ xa với quyền quản trị trên thiết bị của người dùng.
Kryptowire cho biết công ty đã phát hiện ra backdoor được cài trên thiết bị BLU R1 HD được bán bởi nhà sản xuất smartphones Florida của hãng BLU (Hãng chuyên bán sản phẩm tại Hoa Kỳ và một số nước khác từ Nam Mỹ, trực tuyến thông qua Amazon và Best Buy). Nó tồn tại trong hai ứng dụng hệ thống: com.adups.fota.sysoper và com.adups.fota. Đặc biệt, người dùng không thể vô hiệu hóa hoặc gỡ bỏ các phần mềm này.
Phản hồi của BLU cho biết, khoảng 120.000 smartphones của hãng có cài đặt phần mềm của AdUps hiện đang được gỡ bỏ. Bên cạnh đó, Kryptowire ngay lập tức thông báo cho Google, AdUps, cũng như Amazon, nhà bán lẻ độc quyền của BLU R1 HD về kết quả phân tích được.
Google cũng tuyên bố rằng công ty đang làm việc với tất cả các bên bị ảnh hưởng để kịp thời cập nhật bản vá, mặc dù Hãng chưa biết làm thế nào mà AdUps có thể phân phối phần mềm của nó một cách rộng rãi như vậy.
