“Porta dos fundos” em celulares chineses fazia espionagem de usuários

Por apenas US$50, você pode comprar um smartphone com uma tela de alta definição, serviço de informações rápido e, de acordo com os empreiteiros de segurança, com uma característica secreta: uma “porta dos fundos”, aliada da espionagem, que envia todas as suas mensagens de texto para a China a cada 72 horas.

Contratantes de segurança recentemente descobriram um software pré-instalado em alguns celulares Android que monitoram onde os usuários vão, com quem eles conversam e sobre o que eles conversam em suas mensagens. As autoridades americanas dizem que não é claro se isso representa coleta de dados secretos para objetivos de propaganda ou um esforço do governo chinês para explorar inteligência.

Clientes e usuários internacionais dos celulares pré-pagos ou descartáveis são as pessoas mais afetadas por esse software. Mas o objetivo é incerto. A companhia chinesa que fez o programa, Shanghai Adups Technology Company, diz que o código roda em mais de 700 milhões de celulares, carros e outros aparelhos digitais. Uma fabricante de celulares americana, BLU Products, disse que 120,000 dos seus produtos foram afetados e que havia atualizado o software para eliminar o recurso.

Kryptowire, a firma de segurança que descobriu a espionagem, disse que o software da Adups transmitiu o conteúdo total das mensagens de texto, listas de contato, informações de localização e outras informações para um servidor chinês. O código vem pré-instalado nos celulares e a vigilância não é divulgada aos usuários, disse Tom Karygiannis, o vice-presidente da Kryptowire, que é localizada na cidade de Fairfax, Virgínia. “Mesmo se você quisesse, você não saberia disso”, ele disse.

Especialistas em segurança frequentemente descobrem vulnerabilidades nos aparelhos eletrônicos de consumo, mas este caso  é excepcional. A Adups intencionalmente programou o software para ajudar uma fabricante chinesa de celulares a monitorar o comportamento dos usuários, de acordo com o documento que a própria empresa apresentou para explicar o caso para os executivos da BLU. Essa versão do software não foi feita para abranger os celulares americanos, a empresa disse.

“Esta é uma empresa privada que cometeu um erro”, disse Lily Lim, advogado em Palo Alto, Califórnia, que representa a Adups.

O episódio mostra como companhias fornecedoras de tecnologia podem comprometer a privacidade, com ou sem o conhecimento de fabricantes e clientes. Isso também oferece uma olhada em como as empresas chinesas – e, por extensão, o governo chinês – conseguem monitorar o comportamento dos telemóveis. Por muitos anos, o governo da China usou uma variedade de métodos para filtrar e acompanhar o uso da internet e monitorar conversas online. Isto requer que  as companhias de tecnologia que operam no território chinês sigam regras rigorosas. Sra. Lim disse que a Adups não era afiliada com o governo chinês.

No coração do problema existe um tipo especial de software, conhecido como firmware, que diz aos celulares como operar. A Adups fornece o código que permite que as companhias atualizem remotamente seu firmware, uma função importante que não é vista pelos usuários. Normalmente, quando um fabricante de celulares atualiza seu firmware, ele apresenta aos clientes aquilo que está sendo feito e se o processo utilizará informações pessoais. Mesmo que as adaptações do sistema sejam divulgadas em longas publicações legais que os usuários normalmente ignoram, pelo menos as atualizações são divulgadas. Isto não aconteceu com o software da Adups, disse Kryptowire.

De acordo com seu website, a Adups fornece software para dois dos maiores fabricantes de celulares do mundo, ZTE e Huawei. Ambas estão localizadas na China.

Samuel Ohey-Zion, o chefe executivo da BLU Products baseada na Florida, disse: “Isso foi, obviamente, algo que nós não esperávamos. Nós nos movemos rapidamente para corrigir o erro.”

Ele acrescentou que a Adups o assegurou de que toda a informação coletada dos usuários da BLU foi destruída.

O programa foi escrito a pedido de um fabricante chinês não identificado que queria explorar a ligações, mensagens de texto e outras informações dos clientes, segundo o documento da Adups. A empresa disse que a companhia chinesa usou as informações para suporte dos usuários.

Sra. Lim disse que o software pretendia ajudar os clientes chineses a identificar as mensagens de texto e ligações que são spam. Ela não identificou a companhia que fez o pedido e disso que não sabe quantos aparelhos foram afetados. Ela disse que as empresas de celulares – e não a Adups – são responsáveis por divulgar as políticas de privacidade para seus usuários. “A Adups só estava lá para fornecer a funcionalidade que o distribuidor pediu”, ela disse.

Celulares Android rodam um programa que é desenvolvido pela Google e é distribuído, grátis, para os fabricantes o customizarem. Um oficial da Google disse que a companhia pediu a Adups para remover a habilidade de vigilância (espionagem) dos celulares que apresentam serviços como a loja online da Google Play. Isso não incluiria aparelhos na China, onde centenas de milhões de pessoas utilizam celulares Android, mas onde a Google não opera por causa de políticas de censura.

A Adups não publicou uma lista de aparelhos afetados, por isso não é claro como os usuários podem determinar se seus celulares estão vulneráveis. “As pessoas que possuem algumas habilidades técnicas conseguiriam”, Sr. Karygiannis, o vice-presidente da Kryptowire, disse. “Mas o consumidor em geral? Não.”

Sra. Lim disse que ela não sabia como os usuários poderiam determinar se eles foram, ou não afetados.

Adups também fornece o que eles chamam de serviços de “big data” (grandes volumes de dados) para ajudar companhias a estudar seus clientes, “para conhecê-los melhor, saber mais sobre o que eles gostam, o que eles usam, de onde eles vêm e o que eles preferem pra obter um serviço melhor”, de acordo com seu site.

Kryptowire descobriu o problema através de uma combinação de casualidade e curiosidade. Um pesquisador da empresa comprou um celular barato, o BLU R1 HD, para uma viagem ao exterior. Enquanto ele configurava o telefone, ele notou uma atividade incomum da rede, Sr. Karygiannis disse. Nas próximas semanas, analistas notaram que o aparelho estava transmitindo mensagens de texto para um servidor em Shangai e estava registrado na Adups, de acordo com o relatório da Kryptowire.

Kryptowire levou suas descobertas para o governo dos Estados Unidos. Eles tornaram seu relatório público na terça-feira.

Marsha Catron, uma porta-voz do Departamento de Segurança Interna, disse que a agência “foi recentemente informada sobre as preocupações descobertas pela Kryptowire e está trabalhando com nossos parceiros dos setores público e privado para identificar estratégias de atenuação do problema.”

Kryptowire é uma contratante de Segurança Interna, mas analisou o celular da BLU independentemente do contrato.

Sr. Ohey-Zion, o chefe executive da BLU, disse que ele estava confiante que o problema foi resolvido para seus clients. “Hoje, não há aparelho BLU que está coletando aquelas informações”, ele disse.

Adaptado de nytimes.com

Não se esqueçam de compartilhar nas redes sociais!!! 

Até a semana que vem!