“存話費，送智能手機，只需990！”
“預(yù)存500元話費，手機免費送！”
“全民狂歡，買就送！”
你是否曾對某些移動通訊公司打出的此類口號心動不已，剁手不停呢？但如果你知道廉價安卓手機有可能泄露個人數(shù)據(jù)，還敢貪小便宜買買買嗎？
雷鋒網(wǎng)消息，不久前，在美國拉斯維加斯舉行的全球最為知名的黑客大會BlackHat上，安全公司Kryptowire表示他們在美國銷售的低端Android手機BLU固件中發(fā)現(xiàn)了一個后門，會將用戶的大量私人信息，比如手機號碼、位置數(shù)據(jù)、短信內(nèi)容、呼叫信息、安裝和使用的應(yīng)用等等發(fā)送到提供固件的中國公司服務(wù)器上。
納尼？這不就是監(jiān)控！
而收集這些數(shù)據(jù)的還是中國公司，老美皺緊眉頭，覺得事情很不簡單。
但提供固件的上海廣升信息技術(shù)有限公司表示自己也很無辜，這就是個失誤，而所謂軟件的監(jiān)視功能是為中國市場設(shè)計的，幫助中國手機制造商監(jiān)視用戶行為，不小心包含在美國銷售的BLU設(shè)備中。
還監(jiān)視自己人？
反正廣升就是咬定自己是一家私人公司，它的軟件運行在全球超過7億臺設(shè)備上，包括手機、平板和車載娛樂系統(tǒng)，這些軟件被華為和中興的手機使用，也用于美國亞馬遜和百思買售價50美元的BLUR1HD廉價Android智能手機。
你看，我們自己的牌子都在用，怎么會有專門監(jiān)視這一說呢。中國政府收集情報？沒可能的。
但任他如何辯駁，已經(jīng)確定是，這個后門包含在固件的OTA更新軟件中，它以JSON格式向廣升的大數(shù)據(jù)服務(wù)器發(fā)送數(shù)據(jù)，這些服務(wù)器的域名包括了bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn和bigdata.advmob.cn。
收集信息，到底有幾種姿勢？
BLU固件后門事件只是個例，而折射出來的卻是對廉價智能手機安全性的擔憂。
掘金網(wǎng)的安卓開發(fā)工程師涂鴉揭示了手機廠商收集信息的幾種可能。
第一，用了高版本的系統(tǒng)，但是故意留下了后門給自己用，比如BLU固件中被發(fā)現(xiàn)的后門。也就是說，操作系統(tǒng)本身是沒有后門的，可能的是BLU的開發(fā)人員利用了開源的安卓系統(tǒng)，故意給自己寫了后門。
“就像一直流傳的Windows留有后門收集用戶信息一樣，開發(fā)人員自己寫代碼編譯了操作系統(tǒng)，無論背后有什么，也只有天知地知自己知道了?！?br /> 第二，用了低版本的系統(tǒng)，明知有問題不處理。
雷鋒網(wǎng)了解到，去年三月，谷歌曾發(fā)布過一次root權(quán)限安全漏洞的警告，它們將一個Linux內(nèi)核漏洞（編號為CVE-2015-1805)標記為嚴重，而這起事件的導火索是有開發(fā)者在Play商店上架了含有該漏洞代碼的軟件，導致一些用戶被強制獲取了root從而引發(fā)信息泄露問題。
隨后，谷歌安全小組封鎖了這個能獲取root權(quán)限的高危BUG，并在開源項目版安卓系統(tǒng)上打上了補丁。
具體參考2016年1月Nexus安全公告

“但當時很多硬件廠商沒有給用戶提供升級，就可能會存在root權(quán)限漏洞的問題。黑客如果通過這個漏洞拿到了root權(quán)限，用戶的個人信息就很危險了?！?br /> 顯然，手機系統(tǒng)版本過低可能造成黑客攻擊。
對應(yīng)國內(nèi)一票廉價手機，過差的硬件導致無法支持高版本的安卓系統(tǒng)，只能裝低版本的系統(tǒng)，其中的漏洞成為誘惑黑客攻擊的一塊肥肉。
第三，用了低版本的系統(tǒng)，并不清楚有問題，被別人利用了。
這種純屬手機廠商傻白甜，就不多做分析了。
某廉價安卓手機被爆藏后門，你還敢用嗎？
而針對這次事件，究竟有多少部手機有泄露隱私可能呢？
雷鋒網(wǎng)了解到，BLU系列12萬部手機受到影響，手機廠商方表示他們已經(jīng)更新了軟件，刪除了這個功能。
到底刪沒刪除誰也不能肯定，反正亞馬遜已經(jīng)下線了所有BLU所有型號的產(chǎn)品。
BLU已經(jīng)被打了一大半，但其他廉價手機呢，是否還在偷摸收集用戶信息？
反正，少去蹦迪，把錢花在手機上沒什么不好。