被揭收集用户資料、黑心中國廠商迅速強化後門程式避監測

中國製造的電子產品近年聲名大噪，但要邁向國際除了靠售價/性價比的優勢，還有很多進步空間，例如早前有大品牌在專利訴訟上吃了敗仗，亦陸續有系統保安公司揭發手機將用戶資料上載到內地不明伺服器上。證明內地產品要打入國際市場除了技術及品質要追上之外，生產者責任的承擔不能再固步自封。最近又有保安公司發現有24款手機安裝了CoolReaper後門程式，可使使用者暴露於潛在的惡意活動之中。

刻意安裝後門程式

被揭發的手機製造商中國酷派集團(Coolpad)已出售數以百萬計的Android流動設備，11月開始有網絡留言版上張貼酷派客戶投訴資訊，內地已有新聞網站先後報導該後門程式的濫用情況，但似乎酷派儘管受到用戶的反對，仍安裝並維護該後門程式。該後門程式名為「CoolReaper」，Palo Alto Networks威脅情報團隊Unit 42對CoolReaper進行了詳細分析，認為CoolReaper除了搜集基本使用數據之外，似乎也進行其他運作，是一個真正植入酷派設備中的後門程式。此外，酷派似乎已對Android作業系統版本進行了修改，以阻止防毒程式檢測到此後門程式。生產商的行為直接影響用戶資料安全，實在是不能縱容。

Android開放平台　產品安全屢受質疑

在酷派出售的24款手機中撿測出CoolReaper，這意味著根據可獲得的酷派公開銷售資訊，可能超過1千萬用戶受到影響。流動設備製造商在Google Android流動作業系統上安裝額外的軟件可以為Android設備提供更多的功能和客制化服務，同時一些流動運營商也會安裝應用程式以搜集設備性能的數據。這一自主性好處是催生很多創新功能為不同用戶提供多元選擇，同時亦易被無良生產商利用。酷派事件證實硬件設備的不確定性，令企業資安風險除時陷入危機，後門程式避開監察工具表示一般MDM方案未必能監察資訊外洩風險，這是Android系統的先天缺憾，企業無法規管員工私人的自攜裝備，這些不良生產商對任何行業發展都拖倒車。

CoolReaper的背景

CoolReaper可以執行下列任務，其中的任何一項都有可能使用戶和企業的敏感性資料面臨風險。此外， 惡意攻擊者也有可能利用CoolReaper後端控制系統中的漏洞。

• 未經使用者同意或通知使用者，下載、安裝或啟動任何Android應用程式
• 清除使用者資料，卸載現有應用程式或使系統應用程式失效
• 通知使用者不實的設備更新資訊，以安裝不需要的應用程式
• 隨機向手機發送或插入短訊或多媒體訊息
• 撥打隨機電話號碼
• 上傳設備資訊、位置、應用程式的使用資訊、通話和短訊記錄到酷派伺服器

就今次發現Palo Alto Network已向Google Android安全小組(Google Android Security Team)提供了資料，而酷派並未就事件作出回應。