Podjetje Kryptowire, ki se ukvarja z digitalno varnostjo, je razkrilo luknjo v programski opremi nekaterih nizkocenovnih mobilnikov Android, skozi katero je kitajsko oglaševalsko podjetje AdUps prejemalo osebne podatke uporabnikov. Gre za mobilnike znamk BLU, ZTE in celo za v Sloveniji bolj znano znamko Huawei.
Programsko luknjo oziroma tako imenovani “backdoor” je podjetje najprej odkrilo v mobilniku BLU R1 HD, ki ga je ekskluzivno prodajala spletna trgovina Amazon, od odkritja ranljivosti pa je telefon umaknila iz prodaje.
Program so najprej odkrili na poceni mobilniku BlU R1 HD, ki ga je ekskluzivno prodajal Amazon.
Brali so vsebino SMS sporočil, številke v imeniku …
Prednaložena programska oprema je beležila osebne podatke uporabnika, med katere spadajo telefonske številke v imeniku, lokacijski podatki uporabnika, vsebina SMS sporočil, dnevnik klicev, IMEI koda, in jih pošiljala na kitajske strežnike oglaševalskega podjetja AdUps.
Zbirali naj bi celo podatke o aplikacijah, ki jih nalagajo uporabniki, skrita programska oprema pa pri beleženju podatkov zaobide Androidovo opzorilo uporabnikov o branju podatkov. S temi podatki podjetje spoznava in analizira navade uporabnikov in pomaga kitajskim proizvajalcem mobilnikov prilagajati oglase in marketinške akcije naprav posameznikom.
Huawei: “S tem podjetjem nismo nikoli sklenili posla”
Ta programska oprema naj bi bila prednaložena na več kot 700 milijonov naprav po vsem svetu, med katere spadajo mobilniki, tablični računalniki in celo računalniki za osebne avtomobile. Podjetje AdUps se je na razkriti program odzvalo s trditvijo, da je bil ustvarjen izključno za kitajski trg. Na mobilniku BLU, ki se prodaja v Združenih državah Amerike, pa naj bi se znašel naključno.
“Backdoor” naj bi bil naložen tudi na pri nas bolj priljubljenih mobilnikih Huawei.
Ker so tarča tudi Huaweijevi mobilniki, se je Huawei odzval z izjavo, da jemlje zasebnost in varnost njihovih uporabnikov zelo resno ter da naj ne bi nikoli sklenili nikakršnega posla z zgoraj omenjenim oglaševalskim podjetjem. BLU je zapisal, da je programska oprema “oškodovala” le omejeno število mobilnikov, po podatkih New York Timesa pa naj bi BLU zabeležil 120 tisoč naprav s tovrstnim programom v ozadju.
Lokacijske podatke je program pošiljal enkrat na dan
Pri Kryptoware so ugotovili, da je programska oprema pošiljala podatke o SMS sporočilih in shranjenem dnevniku opravljenih klicev vsakih 72 ur, ostale podatke, kot na primer lokacija uporabnika, pa vsakih 24 ur. Varnostno podjetje je že opozorilo Google, BLU, AdUps in Amazon o nevarnosti pred krajo osebnih podatkov.
Mitja Godnič
