Costano poco, ma mandano i tuoi dati in Cina: la storia degli smartphone BLU

Costano poco, ma mandano i tuoi dati in Cina: la storia degli smartphone BLU

Secondo una firma di sicurezza alcuni smartphone del produttore BLU hanno inviato alcuni dati sensibili degli utenti in direzione di server situati in Cina

di Nino Grasso pubblicata il , alle 16:41 nel canale Telefonia
Android
 

Android è il sistema operativo mobile più diffuso al mondo, ma anche quello più vulnerabile. È una storia che già conosciamo da anni con Windows: quando una piattaforma software si diffonde a macchia d'olio è praticamente impossibile tenerla lontano dai malware per via dell'interesse che inizia a suscitare nei confronti dei cyber-criminali. Google ha risposto alla problematica con aggiornamenti di sicurezza rilasciati mensilmente, ma spesso i produttori terzi non si mostrano altrettanto solerti.

Nel caso di BLU, tuttavia, la situazione sembra ancora più preoccupante dal momento che sembra che lo stesso produttore sia stato responsabile - anche se solo indirettamente - dell'uso improprio dei dati degli utenti. A scoprirlo è stata una società di sicurezza nota come Kryptowire, che ha dichiarato che alcuni smartphone Android del produttore utilizzano un'app installata nativamente per trasmettere i dati dell'utente ad alcuni server cinesi ogni 72 ore. Fra i dati sensibili SMS, geolocalizzazione e log delle chiamate.

L'app incriminata è sviluppata dalla società Shanghai Adups Technology, il cui sito riporta che si occupa di fornire servizi di aggiornamento OTA (FOTA, Firmware-over-the-air). La società sembra servire i propri tool a diversi produttori, per un totale di 200 milioni di smartphone in giro per il mondo che utilizzano lo stesso sistema di aggiornamento, e una user base di 700 milioni di utenti correntemente monitorati. Il motivo dell'estorsione dei dati non è ancora chiaro.

Sono state individuate due motivazioni plausibili: la prima, meno grave, relativa alla rivendita degli stessi dati in forma del tutto anonima per motivi pubblicitari; la seconda, più profonda, relativa ad una ipotetica sorveglianza richiesta dalle agenzie governative cinesi. In ogni caso si tratta comunque di una grossa violazione della privacy per gli utenti, i quali non avevano offerto all'app di Shanghai Adups Technology alcun permesso per accedere alle informazioni rubate e trasferite in Cina.

BLU si è affrettata a sottolineare di essere estranea all'estorsione dei dati: "BLU Products ha identificato e prontamente rimosso un problema di sicurezza recente causato da un'app di terze parti che raccoglieva dati personali senza autorizzazione, come SMS, log delle chiamate, e contatti, dai clienti che utilizzavano un numero limitato di dispositivi mobile BLU". Anche Adups ha risposto alle accuse, sostenendo che l'app incriminata fosse in realtà rivolta solo al mercato cinese e progettata per il rilevamento di attività di spam sospette, e non a quello USA.

In ogni caso il monito è chiaro: stare molto attenti a quello che si acquista, soprattutto quando la promessa di un risparmio sostanzioso può tradursi nella perdita dei nostri dati più sensibili.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Bivvoz16 Novembre 2016, 16:49 #1
Beh gli altri costano tanto e li mandano in america
Phoenix Fire16 Novembre 2016, 16:52 #2
ho letto anche altri articoli, ma il problema grosso secondo me è che non si capisce chi è convolto, servono i nomi dei fornitori
gerko16 Novembre 2016, 16:59 #3
Originariamente inviato da: Bivvoz
Beh gli altri costano tanto e li mandano in america




Pura notizia di terrorismo.(fondato per carità, ma ingiusto)

Il 99% delle app si pippa allegramente i vostri dati. Eppure le usate. Anzi di solito viene dato dello scemo a chi non le usa.
Bivvoz16 Novembre 2016, 17:01 #4
Originariamente inviato da: gerko


Pura notizia di terrorismo.(fondato per carità, ma ingiusto)

Il 99% delle app si pippa allegramente i vostri dati. Eppure le usate. Anzi di solito viene dato dello scemo a chi non le usa.


Io le uso allegramente perchè la scelta sta nell'avere uno smartphone o non avere uno smartphone.
Si può essere paranoici fino alla morte ma qualcuno i dati se li pippa comunque.

In realtà cerco di limitare un po' le cose, ma senza troppi sbattimenti.
s0nnyd3marco16 Novembre 2016, 17:18 #5
Originariamente inviato da: Bivvoz
Io le uso allegramente perchè la scelta sta nell'avere uno smartphone o non avere uno smartphone.
Si può essere paranoici fino alla morte ma qualcuno i dati se li pippa comunque.

In realtà cerco di limitare un po' le cose, ma senza troppi sbattimenti.


Sara' che faccio un uso molto basico (internet, telegram, mail, calendario e contatti) ma potrei fare a meno di usare le gapp/play store.

Se hai uno smartphone con root + xposed framework e firewall puoi limitare molto i danni. Per questo motivo non considero i telefoni privi di root e supporto cyanogenmod.
yeppala16 Novembre 2016, 20:45 #6
Originariamente inviato da: gerko
Pura notizia di terrorismo.
Il 99% delle app si pippa allegramente i vostri dati. Eppure le usate.


Il problema è che questa backdoor aggira i permessi di Android e si pippa tutto quello che un'app normale non potrebbe fare
azi_muth16 Novembre 2016, 20:53 #7
Originariamente inviato da: yeppala
Questa backdoor aggira i permessi di Android e si pippa tutto quello che un'app normale non potrebbe fare



LG ha un servizio nascosto che si chiama MLT che si disattiva da menù segreto che ciuccia 200mb ed sospettata di essere è un app di tracking.
http://www.keyforweb.it/lg-ci-spia-...oni-del-device/

Credo che di servizi del genere siano pieni gli smartphone attuali...non è un malware che ha infettato quei telefoni...ma un servizio inserito da chi crea le rom per Blu.
Ma invece di essere inviati a LG, Samsung o Ms...in questo caso sono inviati ad un oscuro committente e decisamente questo non va bene.
yeppala16 Novembre 2016, 21:03 #8
Originariamente inviato da: azi_muth
LG ha un servizio nascosto che si chiama MLT che si disattiva da menù segreto che ciuccia 200mb ed sospettata di essere è un app di tracking.


Nel caso di LG è diverso perchè quel servizio viene usato per registrare sul telefono dei dati che servono a scopi diagnostici (utili se si richiede l'assistenza da parte di LG), i dati rimangono sul telefono in una partizione nascosta e non vengono spediti su un server remoto
azi_muth16 Novembre 2016, 21:08 #9
Originariamente inviato da: yeppala
Nel caso di LG quel servizio viene usato per memorizzare sul telefono dei dati che possono servire a scopi diagnostici, ma i dati rimangono sul telefono, non vengono spediti su un server remoto


E' accessibile su richiesta in remoto.

Su samsung ricordo una servizio simile messo dai Carriers Americani. Il fatto è che questo tipo di informazioni sono i famosi big dati a cui TUTTI puntano. Il piatto è troppo ricco per rinunciarci. Che il cliente voglia oppure no.
Forse sarebbe meglio non darli per niente poi siamo d'accordo meglio darli a Ms che ai cinesi...ma stai certo che non c'è riparo.
Non è una questione di falle...funziona così...
yeppala16 Novembre 2016, 21:09 #10
Originariamente inviato da: azi_muth
E' accessibile su richiesta in remoto.


Appunto, su richiesta, è l'utente che acconsente o meno quando si rivolge all'assistenza.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^