I ricercatori di Kryptowire hanno scoperto una backdoor nei firmware installati su alcuni smartphone Android di fascia bassa che invia dati personali a server situati in Cina. Il software è stato individuato nel BLU R1 HD, uno dei dispositivi low cost più popolari negli Stati Uniti. Il produttore della Florida ha comunicato che tutti i modelli vulnerabili sono stati aggiornati e la backdoor è stata eliminata. Al momento non è noto se il problema riguarda anche gli smartphone venduti in altri paesi.
Il monitoraggio degli utenti e la raccolta dei dati sensibili (numero di telefono, posizione, messaggi, cronologia delle chiamate, rubrica, IMEI e IMSI) avviene mediante il servizio che gestisce gli aggiornamenti OTA. La backdoor, scritta da Shanghai AdUps Technologies per tracciare gli utenti a scopo pubblicitario, è installata su oltre 700 milioni di dispositivi (non solo smartphone), tra cui quelli offerti da Huawei e ZTE. La funzionalità di sorveglianza è stata sviluppata solo per il mercato cinese, ma è finita per errore anche nei prodotti di BLU.
Il firmware modificato può identificare utenti specifici, trasmettere informazioni sulle app utilizzate, eludere i permessi di Android e installare software arbitrario sullo smartphone con privilegi root. I dati personali vengono trasmessi ad intervalli regolari (ogni 24 o 72 ore) e in forma cifrata a server situati a Shanghai.
Kryptowire ha segnalato il problema al governo degli Stati Uniti. Google ha ordinato a Shanghai AdUps Technologies di rimuovere immediatamente la backdoor da tutti gli smartphone che usano servizi come Google Play Store. Non sono ovviamente inclusi i modelli venduti in Cina, dove l’accesso allo store è bloccato.