En amerikansk sikkerhetsforsker fikk seg en overraskelse da tekstmeldinger på den flunkende nye telefonen hans ble sendt til servere i Kina.
Så avdekket han skjult en skjult bakdør, som skal være forhåndsinstallert på flere Android-baserte smartmobiler, som blant annet er solgt via nettbutikker som Amazon og BestBuy.
Shanghai-baserte Adups Technology Company står bak programvaren. Det kinesiske selskapet oppgir selv at koden deres er installert på over 700 millioner telefoner, biler og andre enheter, skriver New York Times.
Amerikanske myndigheter sier det er uvisst om dette representerer målrettet spionasje fra Kina, eller om programvaren kan være installert i det skjulte for å understøtte annonseformål.
Brukeraktivitet, samtalelogger, lokasjonsdata, IMSI- og IMEI-koden og telefonens kontaktliste er noe av det som blir overført i det skjulte.
Ifølge en rapport sikkerhetsfirmaet Kryptowire offentliggjorde i går – det er de som gjorde oppdagelsen – skjer dette med faste intervaller på mellom 24 og 72 timer.
I kunngjøringen blir det blant annet redegjort for involverte servere, IP-adresser, hvordan overvåkingen foregår rent teknisk, samt navn på systemapplikasjoner som er skjult på de berørte Android-telefonene.
Full kontroll
I tillegg har de berørte enhetene en fastvare som samler inn og overfører info om bruk av apper på de overvåkede telefonene.
Foruten å omgå rettighetsmodellen på Android kan fastvaren brukes til å fjernstyre enheten samt installere nye programmer, uten brukerens viten, opplyser Kryptowire.
– Hjalp en kinesisk mobilprodusent
Så langt er koden påvist på rimelige mobiltelefoner, blant annet 120.000 Android-enheter fra den for oss nokså ukjente amerikanske mobilprodusenten BLU Products.
– Dette er ingen kodefeil. I stedet har Adups erkjent at de bevisst har utviklet programvaren for å hjelpe en ikke navngitt kinesiske mobilprodusent med å overvåke brukeraktiviteten. Denne versjonen av programvaren var ikke beregnet for amerikanske telefoner sier selskapet, ifølge New York Times.
Det er ikke offentliggjort noen liste over hvilke andre produsenter eller mobiltelefonmodeller som kan være berørt.
New York Times viser derimot til at Adups selv oppgir at de har kinesiske ZTE og Huawei, to av verdens største mobilprodusenter, på kundelisten.
– Ignorerte advarsler
Andre sikkerhetsforskere nettstedet Motherboard har snakket med, hevder at de i lengre tid har forsøkt å konfrontere Adups, samt advare leverandører som har solgt produktene med bakdør, uten hell.
En talsperson for Amazon sier at de valgte å fjerne de berørte produktene fra sitt sortiment, men at disse senere vil bli tilgjengelig for salg igjen, ettersom BLU Products nå skal ha sendt ut en oppdatering som retter problemet.