後一加,輪到 Wiko 遭受了埃利奧特·奧爾德森(Elliot Alderson)的憤怒 - 化名取自主角的名字機器人先生-,這位駭客透過剖析 Android 智慧型手機來尋找後門或隱藏的資訊外洩。對於這個法國品牌,安全研究人員得到了一盆漂亮的玫瑰,即兩個預先安裝的系統應用程序,它們可以秘密地將資料從設備發送到中國的一家公司。
<Thread>你好@WikoMobile👋!讓我們來談談手機中的 ApeSaleTracker 和 ApeStsMonths 應用程式。
這些應用程式是預先安裝的系統應用程序,它們會在未經用戶同意的情況下透過 HTTP 或 SMS 定期、靜默地將用戶資訊發送給名為 Tinno 的中國第三方— 巴蒂斯特·羅伯特 (@fs0c131y)2017 年 11 月 19 日
這些應用程式稱為“ApeSale Tracker”和“ApeStsMonths”。至於中國公司,它是中國智慧型手機製造商Tinno,也是Wiko的母公司。事實上,這家法國公司實際上只是這家製造商的商業和行銷橋頭堡,該製造商以不同的品牌(法國的 Wiko,藍光在美國、印度的 Intex、突尼斯的 Evertek、俄羅斯的 Fly…)。
Tinno 向法國用戶尋求哪些資料?根據艾利奧特·奧爾德森介紹,該設備每月發送 IMEI、客戶編號、GSM 小區位置、序號和系統軟體版本。這些資料將透過 HTTP 或 SMS(因此發送到中國號碼)進行未加密的傳輸。該資料的發送將在用戶不知情的情況下完成,用戶也無法阻止它。
我們總結一下:
1.@WikoMobile天瓏科技在未經用戶同意的情況下收集您的設備信息
2. 作為最終用戶,您無法停用它。
3.他們在未經用戶同意的情況下將您的資料發送簡訊到中國
4. 他們以明文形式發送您的數據— 巴蒂斯特·羅伯特 (@fs0c131y)2017 年 11 月 19 日
01net.com 聯絡 Wiko 時,Wiko 淡化了這一情況,強調只向天諾傳輸技術數據,而不是用戶數據。該收集不包括 GSM 小區位置,並且永遠不會透過 SMS 完成,而只能透過 HTTP 完成。此外,該資料在發送之前將使用 RSA 演算法進行加密。
以下是 Wiko 的官方回應:
「Wiko 是一家負責任的公司,始終將客戶置於關注的中心。 Wiko智慧型手機配備了STS(銷售追蹤系統)應用程序,其目的是建立銷售和產品壽命統計數據。 STS系統收集的數據為技術數據,包括IMEI號、序號、手機型號名稱、Android作業系統版本。首次開機時激活,每月一次,僅透過網路連線激活,絕不透過簡訊激活。不會收集與使用者、智慧型手機使用或應用程式相關的資料。
Wiko 非常重視與個人資料相關的問題,並於 2017 年主動啟動了對其負責的所有個人資料處理的審核。此審計由一家專業公司(TNP – Cil Consulting:https://www.protection-des-donnees.fr/)。 Wiko 一直熱衷於按照法規處理客戶數據,並為 2018 年 5 月 GDPR 的生效進行了數月的準備。
艾略特·奧爾德森很難相信這一切。對他來說,這次的發展是“彌天大謊”他可以證明這一點,因為他有反編譯的源代碼。“他們不能與他們寫的程式碼相矛盾”,他強調。不過,他承認 Wiko 的解釋最終是正確的,即它在使用 RSA 發送資料之前對資料進行加密。但他堅持並簽署了使用簡訊和傳輸 GSM 位置數據的協議。
這是一個彌天大謊,我有這些應用程式的反編譯原始碼來證明這一點
— 巴蒂斯特·羅伯特 (@fs0c131y)2017 年 11 月 20 日
1. RSA部分正確。他們使用硬編碼密鑰加密訊息內容
2. SMS 作為備份方法。
3. 他們在 ApeStsMonths 內發送 GSM 小區位置https://t.co/NuPExm78O9— 巴蒂斯特·羅伯特 (@fs0c131y)2017 年 11 月 20 日
無論如何,這個法國品牌半心半意地告訴我們,它意識到自己有點過分了。經過上述審計後,它決定在年底前用更輕的版本替換當前的每月收集軟體,該版本在實施時僅傳輸一次資料。此外,該收集將在法國和非中國伺服器上完成。至於未來的歐洲 GDPR 法規,可以肯定的是,它會更加乾淨。
