某廉价安卓手机有可能泄露个人数据，还敢贪小便宜买买买吗？

“存话费，送智能手机，只需 990！”

“预存 500 元话费，手机免费送！”

“全民狂欢，买就送！”

你是否曾对某些移动通讯公司打出的此类口号心动不已，剁手不停呢？但如果你知道廉价安卓手机有可能泄露个人数据，还敢贪小便宜买买买吗？

某廉价安卓手机有可能泄露个人数据，还敢贪小便宜买买买吗？

不久前，在美国拉斯维加斯举行的全球最为知名的黑客大会 Black Hat 上，安全公司 Kryptowire 表示他们在美国销售的低端 Android 手机 BLU 固件中发现了一个后门，会将用户的大量私人信息，比如手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等发送到提供固件的中国公司服务器上。

而收集这些数据的还是中国公司，老美皱紧眉头，觉得事情很不简单。

但提供固件的上海广升信息技术有限公司表示自己也很无辜，这就是个失误，而所谓软件的监视功能是为中国市场设计的，帮助中国手机制造商监视用户行为，不小心包含在美国销售的 BLU 设备中。
还监视自己人？

反正广升就是咬定自己是一家私人公司，它的软件运行在全球超过 7 亿台设备上，包括手机、平板和车载娱乐系统，这些软件被华为和中兴的手机使用，也用于美国亚马逊和百思买售价 50 美元的 BLU R1 HD廉价 Android 智能手机。
你看，我们自己的牌子都在用，怎么会有专门监视这一说呢。中国政府收集情报？没可能的。

但任他如何辩驳，已经确定是，这个后门包含在固件的 OTA 更新软件中，它以 JSON 格式向广升的大数据服务器发送数据，这些服务器的域名包括了 bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn 和 bigdata.advmob.cn。

BLU 固件后门事件只是个例，而折射出来的却是对廉价智能手机安全性的担忧。

掘金网的安卓开发工程师涂鸦揭示了手机厂商收集信息的几种可能。

第一，用了高版本的系统，但是故意留下了后门给自己用，比如 BLU 固件中被发现的后门。也就是说，操作系统本身是没有后门的，可能的是 BLU 的开发人员利用了开源的安卓系统，故意给自己写了后门。

“就像一直流传的 Windows 留有后门收集用户信息一样，开发人员自己写代码编译了操作系统，无论背后有什么，也只有天知地知自己知道了。”

第二，用了低版本的系统，明知有问题不处理。

去年三月，谷歌曾发布过一次 root 权限安全漏洞的警告，它们将一个Linux内核漏洞（编号为 CVE-2015-1805 )标记为严重，而这起事件的导火索是有开发者在 Play 商店上架了含有该漏洞代码的软件，导致一些用户被强制获取了 root 从而引发信息泄露问题。

随后，谷歌安全小组封锁了这个能获取 root 权限的高危 BUG，并在开源项目版安卓系统上打上了补丁。

“但当时很多硬件厂商没有给用户提供升级，就可能会存在 root 权限漏洞的问题。黑客如果通过这个漏洞拿到了 root 权限，用户的个人信息就很危险了。”

显然，手机系统版本过低可能造成黑客攻击。

对应国内一票廉价手机，过差的硬件导致无法支持高版本的安卓系统，只能装低版本的系统，其中的漏洞成为诱惑黑客攻击的一块肥肉。

第三，用了低版本的系统，并不清楚有问题，被别人利用了。

这种纯属手机厂商傻白甜，就不多做分析了。