Manu Pitkänen
16. marraskuuta, 2016 10:30
Tietoturvayhtiö Kryptowire on havainnut muutamien Yhdysvalloissa myytävien älypuhelimien lähettävän luvattomasti tunnistetietoja ja henkilökohtaiseen viestintään liittyviä tietoja Kiinassa sijaitseville palvelimille.
Epämääräistä tiedonsiirtoa havaittiin esimerkiksi BLU:n R1 HD -puhelimesta. Taustalla on ohjelmistojen etäpäivittämiseen (FOTA) erikoistuneen kiinalaisen Shanghai Adups Technologyn kehittämä ohjelmistotuote, jota siis hyödynnetään ainakin BLU:n puhelimessa. BLU:n mukaan Adupsin ohjelmisto löytyy esiasennettuna ainakin 120 000 eri laitteesta.
Adupsin verkkosivuilla markkinoitujen tietojen mukaan yhtiön ratkaisuja hyödyntää maailmanlaajuisesti yli 700 miljoonaa käyttäjää. Puhelimien lisäksi Adups tarjoaa päivitysratkaisuja erilaisille IoT-laitteille.
Kryptowiren mukaan Adupsin ohjelmisto keräsi puhelimesta IMSI- ja IMEI-tunnistetiedot sekä tekstiviestihistorian, yhteystiedot ja soittohistorian. Tietoja siirrettiin salatussa muodossa 24–72 tunnin välein Wi-Fi-yhteyden yli Adupsin Kiinassa sijaitseville palvelimille.
Adupsin mukaan se on kerännyt tunnistetietoja päivitettävien laitteiden tunnistamiseksi. Puhelu- ja tekstiviestihistorian keräämistä yhtiö perustelee tarpeella kehittää suodatusjärjestelmä roskatekstiviestejä ja telemarkkinointipuheluita varten. Blun kohdalla on tapahtunut virhe, joka johti suodatusjärjestelmän tiedonkeruukomponentin lisäämiseen sen puhelimiin.