ADUPS 是一家总部位于中国上海的安卓“固件配置”公司。该软件专门从事安卓使用情况的大数据收集，以及恶意应用安装和/或固件控制。谷歌已将其安卓兼容性测试套件 (CTS) 中的 ADUPS 代理列入黑名单。

ADUPS 最近攻陷了 许多 BLU 手机型号，并被发现使用 DES（弱）加密，直接将美国境内手机的通话记录、短信、联系人、位置信息等传输到中国服务器。

Barnes & Noble 的最新平板电脑，新发布的 49 美元的 BNTV450，已被发现包含 ADUPS。在 BLU 数据盗窃事件之后，ADUPS 对安卓的恶意数据收集和控制可能（或可能不会）暂时受到遏制，但有害能力仍然存在于 ADUPS 代理中。运行 ADUPS 的设备应被视为受到恶意控制，不应用于任何类型的敏感数据。

ADUPS BLU 数据盗窃的程度是 由 Kryptowire 发现并记录的，他们了解到 ADUPS 代理能够：

• 短信记录

• 短信传输

• IMEI 泄露

• IMSI（传输）

• 通话记录传输

• 通话联系人信息传输

• 位置收集和传输

• 命令注入

• 远程用户应用程序更新

• 远程用户应用程序安装

• 传输已安装应用程序列表

• 传输应用程序执行顺序

• 程序化固件更新

• 远程执行和权限提升（无需用户通知或请求）

• IP 地址（传输）

• 姓名（*对于联系人）

这项功能的很大一部分子集在美国境内的人员身上被使用，这已上报给国土安全部。纽约 Rosen 律师事务所对 BLU 发起了 集体诉讼调查，该事务所正在收集集体诉讼成员和信息，以进行损害评估。

ADUPS 本身在其网站上宣传，它能够：

• 应用推送服务

• 设备数据挖掘

• 唯一包检查

• 移动广告

Kryptowire 的研究主管 Azzedine Benameur 认为任何运行 ADUPS 的设备都已永久受损。启用 ADUPS 的设备应附带一份声明，告知“用户在使用该设备时可以预期零隐私或控制权。撇开间谍软件不谈，它是一款很棒的[设备。]” ADUPS 的恶意功能可以随时启用，并且不会被任何扫描器标记为恶意软件，因为设备供应商将其作为完全特权的操作系统组件安装。

在这种情况下，在 Barnes & Noble 的最新 Nook 设备（49 美元的 BNTV450）上发现 ADUPS FOTA（“固件空中升级”）文件，真是令人惊讶

u0_a76@st16c7bnn:/ $ find /system 2> /dev/null | grep -i adups
/system/app/AdupsFota
/system/app/AdupsFota/AdupsFota.apk
/system/app/AdupsFota/oat
/system/app/AdupsFota/oat/arm64
/system/app/AdupsFota/oat/arm64/AdupsFota.odex
/system/app/AdupsFotaReboot
/system/app/AdupsFotaReboot/AdupsFotaReboot.apk
/system/app/AdupsFotaReboot/oat
/system/app/AdupsFotaReboot/oat/arm64
/system/app/AdupsFotaReboot/oat/arm64/AdupsFotaReboot.odex

可能需要注意的是，BNTV450 对于 Barnes & Noble 来说，显然是与其过去的 OMAP/Snapdragon 设计大相径庭。这款廉价平板电脑似乎已外包给深圳京华信息技术有限公司，因为之前的合作伙伴三星并没有在这个价格范围内生产安卓设备。这款最新的平板电脑运行的是联发科的处理器，即 MT8163 ARM Cortex-A53。联发科直接参与了 ADUPS 规避谷歌安全

[BLU] 手机定期向中国服务器发送大量个人信息：短信、通话记录、联系人列表等等。经过更多调查，发现这通过一个名为 ADUPS 的底层软件发生。

当谷歌之前更新其系统以检查 ADUPS 时，联发科（他们为数百万部低端手机制造芯片组）只是修改了他们的系统软件以规避谷歌的检查。联发科干得漂亮！

联发科有 保护恶意软件免受谷歌安全扫描的历史，并被认为是安卓社区中最糟糕的芯片组供应商。自 BLU 数据盗窃事件以来，俄罗斯市场上多家原始设备制造商的联发科设备 被发现 预装了“Android.DownLoader.473.origin”恶意软件。在过去 30 天里，联发科的声誉一落千丈。

还应注意的是，感染 ADUPS 的 BLU 设备在应用程序菜单中有一个“无线更新”条目，可以禁用 ADUPS 代理。BNTV450 中没有这样的功能——用户无法在此设备上阻止 ADUPS。

Barnes & Noble 应该意识到这些不是值得信赖的硬件和软件合作伙伴。

自从 NowSecure 上次更新安卓漏洞测试套件 (VTS) 以来，已经过去将近一年了。谷歌对 VTS 持有不合理的负面看法，并禁止其进入 Play 商店，但该扫描器对于评估安卓设备的安全性状态非常宝贵。

令人惊讶的是，虽然 BNTV450 运行的是安卓 6 Marshmallow（补丁级别为 2016 年 9 月 5 日），但 VTS 报告该设备容易受到 CVE-2015-6616 漏洞的影响。在一个相对较新的软件版本中发现如此老旧的 Mediaserver 漏洞，这真是非同寻常。Stagefright/Mediaserver 漏洞最初是 由 Zimperium 在 2015 年 7 月披露的，它们的严重性应该引起更多关注。

作为参考，运行最新软件版本的 Moto G XT1028 运行的是安卓 5.1 Lollipop，并在 2016 年第一季度收到了最终更新。VTS 在这款手机上没有发现漏洞（尽管此后发现了一些严重漏洞，VTS 没有探测到这些漏洞，其中最著名的是 Dirty Cow）。

实际上，使用 BNTV450 的唯一安全方法是格式化 eMMC，并安装第三方 ROM，如果可以找到的话。

ADUPS 总共发布了四份新闻稿，从 2016 年 11 月 16 日开始

• 2016/12/06 — 隐私声明

• 2016/12/07 — 常见问题解答

• 2016/11/23 — 更新通知

• 2016/11/16 — 声明

此系列中最重要和最首要的信息是：“ADUPS 真诚地向其合作伙伴和用户道歉。”

诚然，ADUPS 作为一个企业实体表达了遗憾，但提出的许多观点与报道的叙述不符

• ADUPS 声称其代理的新升级版本（5.5 版）不再能够提取敏感数据。可信度将需要来自可信安全组织的独立审查和确认（即 Kryptowire、NowSecure 或 Zimperium 的源代码审查）。下面列出了“Buzz Lab”，但基本上需要美国境内的组织来建立信誉，因为这里是盗窃事件发生地。

• BNTV450 似乎正在运行以下不安全的 ADUPS 版本：android:versionName="5.2.0.2.002"。这是通过将 AdupsFota.apk 文件上传到 http://www.javadecompilers.com/apk 并检查 Android 清单文件获得的。

• 据称，ADUPS “一直在与谷歌合作”，并且“我们立即发布了 Adups FOTA 5.5 的更新版本，该版本已通过谷歌安全团队和中国知名第三方组织 Buzz Lab 的认证。”（谷歌似乎认为“Buzz Lab”是一家波士顿视频制作公司。） 这需要谷歌发布正式声明，说明 CTS 不再将相关版本的 ADUPS 代理列入黑名单，最好 साथ साथ 附上他们的理由。

• ADUPS 在其最新文件中承认，它继续收集 IP 地址。IP 地址可用于唯一标识个人，这种做法应立即停止：“通过 5.5 版（以及随后的适当更新版本）收集的唯一数据是基本设备信息和产品型号信息，例如设备类型、平台、型号、版本、IP 地址、国际移动设备识别码 (IMEI) 等。”

• ADUPS 似乎 花费了其公司生命中的很大一部分时间 表现得像一家恶意软件公司。为什么我们现在被建议接受其代理的新版本作为安卓基础设施社区的有效成员？谁能保证它适用于对安全敏感的 OTA 更新？

• Kryptowire 提供的证据表明，在传输之前，短信使用了弱 DES 加密。ADUPS 通过各种声明对此提出异议：1) “ADUPS 在传输过程中使用 https，并使用多重加密来确保数据安全。” 2) “例如，所有到 ADUPS 服务器的数据传输都是通过安全的 HTTPS 通道进行的。” 3) “短信等敏感数据在压缩前进行了进一步加密。” 4) “所有用户数据在传输到 ADUPS 服务器之前都进行了压缩，压缩后的数据通过安全的 HTTPS 通道传输到 ADUPS Web 服务器。” 仅用这些声明中的 “https” 来为弱 DES 密码辩解是不够的——需要具体说明。 这是 TLSv1、TLSv1.1 还是 TLSv1.2？ 这是否使用了 AES？ 这些会话是否配置了使用 DHE 或 ECDHE 的前向保密？ 是否使用了 AEAD 密码？ 压缩是否引入了 CRIME 攻击的风险？ ssllabs.com 上相关服务器组件的扫描结果是什么？ 在没有更多细节的情况下，这些声明是无法接受的。

• 在关于数据集中未包含的其他声明中，“用户的联系人列表也不在收集的数据之列。” 这也需要独立验证，最好来自 Kryptowire。

• 物理隔离似乎得到了声称：“具体而言，数据存储服务器位于 Tier 4 数据中心，并且与外部隔离。” 然而，稍后又提到了防火墙：“所有 ADUPS 数据存储服务器都位于受防火墙保护的 ADUPS 内部网络中。” 数据存储是连接到网络，还是没有连接到网络？

• ADUPS 应发布会话日志，以支持以下声明：“在 BLU Products 于 2016 年 10 月 28 日就数据收集问题联系 ADUPS 后，ADUPS 立即清除了服务器上的所有基站 ID 数据以及通话和短信数据。”

• ADUPS 的总部位于上海，但也列出了在深圳、台北和新德里的办公地点。 然而，数据服务器位于香港。 哪些司法管辖区接触过这些数据，并可能卷入有关违规行为的法律诉讼？ “ADUPS 海外用户服务器位于香港，香港拥有严格的数据保护法律。”

以上声明是否足以信任新的 ADUPS 5.5 代理？ 监管机构尚未表态。

针对此次恶意软件事件中几个参与者的建议即将发布。

对于 Barnes & Noble 而言，您包含生产软件的设备在发布到生产之前应由安全专家进行审核。 如果 Kryptowire、NowSecure 或 Zimperium 评估了此安卓版本的安全性，他们肯定会阻止尝试销售包含被列入黑名单的恶意软件和开放 CVE 的安卓版本。 与其将客户的重要数据置于超出您管辖范围的中国数据库中，不如错过圣诞销售季。

对于 ADUPS 而言，您必须放弃对您的安卓社区的完全控制权，尤其是在美国。 我们的隐私必须超出您的诱惑范围。

对于联发科而言，如果您尊重您的客户，您将受到欢迎。 如果您滥用您的客户，您将被禁止进入我们的国家。

而谷歌，作为这场木偶戏的幕后操纵者，悄然撤回 Android 更新联盟并没有被忽视，18 个月的补丁支持远远不够。 企业级 Linux 轻松承诺 5 年支持周期。 Pixel 不是也无法成为安卓 2016 年灾难之年的解决方案，而且谷歌的企业行为没有任何迹象表明 2017 年会更好。

无论如何，已就此问题向联邦贸易委员会提交了案件编号 78952613。

安卓正在迅速超出其所有者的管理能力范围。 如果我们尚未达到将这项关键资源国有化并通过国会控制管理 AOSP 的地步，那么我们也已经非常接近了。

*免责声明，本文中表达的观点和意见是作者的观点和意见，不一定反映 Linux Journal 的观点。