סמארטפונים של Blu הכילו רכיב ריגול סיני

חברת הסייבר Kryptowire מצאה כי בחלק ממכשירי Blu קיימים רכיבי תוכנה של חברה סינית בשם Adups, שריגלו אחרי המשתמשים והעבירו מידע אישי ורגיש לשרתים סודיים בסין. על פי הדיווח שפורסם אתמול (ג') בניו יורק טיימס, יצרנית הטלפונים המוזלים האמריקאית Blu, שהוקמה על ידי היהודי-האמריקאי שמואל אוהב-ציון לא הייתה מודעת לנושא.

בין השאר, רכיבי התוכנה אספו כמות אדירות של נתונים אישיים ללא ידיעת המשתמשים, כגון הודעות טקסט, שיחות ופרטי אנשי קשר, והעבירו אותם לסין מדי 72 שעות. המידע לא נאסף עבור החברה האמריקאית ולא הגיע לשרתיה – במקום זאת, ניתן להעריך שהמידע נאסף דרך Adups והגיע בסופו של דבר לידי הממשלה הסינית, למרות ש-Adups דחתה את הטענות האלו.

Adups ו-Blu משתפות פעולה מזה תקופה ארוכה – Adups בין השאר מפתחת ישומים המיועדים לגרסאות אלטרנטיביות של אנדרואיד, וכלי עדכון מערכת ההפעלה שלה (firmware update) נפוץ במיוחד בעשרות מכשירים מערביים. אוהב-ציון אמר ל"ניו יורק טיימס: "בבירור, לא ידענו על זה וברגע שגילינו את הבעיה, פעלנו במהירות לפתור אותה".

"טעות תמימה"

Adups טוענת מצידה כי מדובר בטעות תמימה שלה. לפי ההצהרה הרשמית של החברה, שנמסרה דרך עורכת הדין לילי לים שמייצגת את Adups בארצות הברית, בגרסה של כלי עדכון מערכת ההפעלה שהיא הפיצה ביוני האחרון נכללו בין השאר מספר כלים שהחברה פיתחה עבור יצרניות סיניות, ש"היו אמורים לסמן הודעות ספאם והודעות שהגיעו ממקורות לא ידועים".

החברה לא ציינה מי הלקוח שביקש את פיתוח הכלי ולא הסבירה מדוע הדבר מצריך בין השאר גירוד כל אנשי הקשר הקיימים מהמשתמשים מדי 72 שעות, אבל כן אמרה כאמור שהמידע שנאסף לא הגיע לידי הממשלה הסינית וכי החברה "אינה מסונפת לממשלה הסינית בשום דרך". "מדובר בחברה פרטית, ועשינו טעות", אמרה לים. החברה הוסיפה שהיא מתנצלת על הטעות ושהיא עבדה יחד עם Blu על מנת לסתום את פירצת האבטחה.

לפי Kryptowire, הדלת האחורית שפותחה על ידי Adups נמצאה לפחות במכשיר אחד של Blu – R1 HD, ולפחות 120 אלף איש נפגעו מכך. חברת האבטחה גם עדכנה את גוגל, מפתחת מערכת ההפעלה אנדרואיד, ואת אמזון, המפיצה הרשמית של מוצרי Blu בארצות הברית. שתי החברות אמרו כי לא היו מודעות לפירצת האבטחה עד כה.

גם וואווי, ZTE חשודות

אבל Kryptowire ציינה אפשרות הרבה יותר מדאיגה – Adups עובדת בין השאר גם עם יצרניות סמארטפונים סיניות ענקיות, ביניהן ZTE ו-וואווי, וכלי עדכון מערכת ההפעלה שלה מותקן על 700 מיליון מכשירים ברחבי העולם (רובם בסין). במידה והדלת האחורית מותקנת גם במכשירי שתי החברות האלו, יתכן מאוד ועשרות מיליוני משתמשים במערב נפגעו. שתי החברות סירבו להגיב לפניות התקשורת בנושא, אם כי ראוי לציין שנכון לרגע זה אין ראיות שהדלת האחורית אכן מותקנת באחד ממכשיריהן.

זאת גם אינה הפעם הראשונה שמתגלה כי במכשירים סיניים, במיוחד בסמארטפונים, ציוד תקשורת ותוכנה שפותחה עבור מכשירים אלו, אוספים מידע שמוצא את עצמו בסופו של דבר בסין. לפני כשנה סיפור דומה התגלה במכשירי חברת שיאומי, ולפני מספר שנים ZTE ו-וואווי ספגו מהלומה קשה לאחר שרשות הסחר האמריקאית ורשות התקשורת האמריקאית פרסמו אזהרה כנגד ציוד התקשורת שלהן מסיבות דומות.

יש לציין שהדגם בו נמצא הרכיב אינו נמכר בישראל, כך הוסבר לנו מהיבואן המקומי. "מדובר בדגם שנמכר רק בחו"ל", הסביר דניאל שולדנפריי, נציג היבואן ל"כלכליסט".