Производитель Android-телефонов Blu Product получил неожиданный удар: в понедельник интернет-гигант Amazon заявил, что не будет больше продавать телефоны Blu из-за проблем с безопасностью и конфиденциальностью данных.
Производитель попал под подозрение на прошлой неделе, когда исследователи из Kryptowire на конференции Black Hat раскритиковали компанию за сбор персональных данных, идентифицирующих пользователя, без спроса.
«Поскольку безопасность и приватность наших клиентов для нас превыше всего, мы прекратили продажи всех моделей телефонов Blu, пока проблема не будет решена», – заявляют в Amazon. Телефоны Blu Product – лидеры продаж в Amazon среди не привязанных к оператору Android-смартфонов, а примечательны они в первую очередь низкими ценами. Они также продаются в Best Buy и Walmart, которые пока не прокомментировали ситуацию. Что интересно, на момент написания этого поста, несмотря на обещание Amazon заморозить продажи, телефоны Blu все еще можно найти на Amazon.com.
В этот же понедельник Blu ответила на обвинения Amazon, заявляя, что они беспочвенны. Кармен Гонсалес (Carmen Gonzalez), директор по маркетингу в Blu Products, заявила, что она хотела бы «прояснить, что в устройствах Blu нет никакого шпионского ПО, зловреда или секретных программ, а отчеты о том, что они там все же есть, неточные и ложные».
Источник противоречий и споров – утилита Adups, которую Blu использует для обновления ПО в своих телефонах. Разработчик этой утилиты, компания Shanghai Adups Technology, получила свою порцию критики на Black Hat за то, что она продолжает использовать Adups на телефонах как минимум двух производителей. Исследователи утверждают, что эта утилита продолжает без спроса собирать информацию, позволяющую идентифицировать пользователя. Продолжает, несмотря на то, что именно за эту практику подверглась гонениям в прошлом году.
Райан Джонсон (Ryan Johnson), исследователь и сооснователь Kryptowire, рассказал на Blak Hat, что на момент проведения исследования в мае этого года Adups по-прежнему отправляла пользовательские данные на серверы компании в Китае. В прошлом году Kryptowire сообщала, что Adups тайно собирала полные тексты сообщений пользователя, историю звонков с номерами телефонов и уникальные идентификаторы устройств, в том числе IMSI, серийный номер, MAC-адрес и IMEI.
На прошлой неделе Shanghai Adups Technology также ответила на критику, заявив, что исследование Kryptowire содержит неточности. «С ноября 2016 года все версии приходящих по воздуху обновлений прошивки (FOTA, Firmware Over-the-Air) проходят сертификацию Google. Мы отправляем пользователям только полностью безопасные и надежные версии ПО».
Kryptowire тем не менее утверждает, что, пусть в ноябре 2016-го Shanghai Adups Technology действительно значительно сократила объемы пользовательских данных, которые собирала Adups, она продолжает сбор не подлежащих сбору данных на некоторых моделях телефонов Blu. Например, на смартфоне Blu Grand M Adups она записывает ID сотовой вышки, списки установленных приложений, номер IMSI и серийный номер SIM.
Райан Джонсон из Kryptowire отметил, что Shanghai Adups Technology сохраняет возможность исполнять команды на миллионах телефонов, где установлены ее программы. «Если они захотят, они могут устанавливать приложения, делать скриншоты и стирать данные с устройств – пользовательское согласие на это не требуется». – говорит он.
Гонсалес подтверждает, что в ноябре Blu действительно работала с Adups, чтобы сократить количество данных, которые программа собирает со смартфонов Blu. «На мизерной части аппаратов Blu была установлена версия программы, которая собирала контакты из записной книжки и текстовые сообщения.
Поскольку в Blu об этом ничего не знали, мы не уведомляли об этом пользователей, так что это действительно могло быть потенциальной угрозой приватности пользователей. В Blu быстро среагировали и решили проблему, заставив Adups отключить эти функции», – говорит Гонсалес.
Сейчас Blu признает, что Adups все еще собирает пользовательские данные, однако ничуть не в большем объеме, чем у производителей других смартфонов. «Ничего необычного не собирается, и это уж точно никак не затрагивает приватность или безопасность пользователя», – комментирует Гонсалес.