2020年1月11日

 

網路安全專家發現，美國對低收入群體提供的政府補貼手機，攜帶預先植入的中國惡意軟體，可以在使用者沒有授權時下載安裝其它應用，而且無法卸載清除。

這項發現涉及美國政府透過聯邦通信委員會的生命線援助計畫（Lifeline Assistance），向低收入民眾提供的政府補貼手機。符合低收入條件的民眾只要支付35美元，就可以從Assurance Wireless公司購買一部在中國製造的UMX U686CL手機，而且包括免費電話、免費短信和免費資料服務。這款手機使用安卓（Android）作業系統，製造商是美國Unimax公司，但是在中國生產。

美國網路安全公司惡意軟體位元組（Malwarebytes）說，他們在一些UMX U686CL手機上發現兩款預先植入的惡意軟體，一個叫無線更新（Wireless Update），另一個叫隱蔽廣告（HiddenAds）。無線更新軟體擁有不受限制的特權，可以不用徵得用戶同意，就下載安裝應用。這個惡意軟體是由中國上海廣生資訊技術有限公司(Adups，簡稱上海廣生)編寫的，而且不能卸載，因為一旦卸載，手機的其它功能就會受到嚴重影響。

 

上海廣生

科技新聞網站數位趨勢（Digital Trends）網站說，上海廣生過去就曾“搜集使用者資料，給無線設備製造後門，並研發自動安裝器” ，因此受到谷歌公司以及美國國土安全部的調查。《紐約時報》2016年報導說，上海廣生編寫的惡意軟體在多達七億部手機、汽車和其他智慧設備上運行，可以將短信全文、連絡人名單、通話記錄、位置資訊，以及其他資料傳輸到一個中國的伺服器上去。

美國政府補貼手機上發現的另一個惡意軟體是隱蔽廣告。惡意軟體位元組公司發現這是個木馬軟體，原始程式碼充斥著加密的中文，讓公司無法判定這個木馬程式的確切用意。更為麻煩的是，隱蔽廣告軟體與手機的設置緊密結合，一旦拆除，整部手機將無法使用。

 

Assurance Wireless的總公司美國Sprint通信公司否認銷售的UMX U686CL手機上存在惡意軟體。Sprint通信公司對數位趨勢網站說，公司“瞭解這個問題，目前正與手機製造商Unimax接觸，掌握問題的根源。但經過初始測試，我們不認為媒體形容的應用是惡意軟體”。

美國聯邦傳播委員會對數位趨勢網站說：“聯邦通信委員會透過生命線援助計畫（Lifeline Assistance），向符合條件的生命線客戶使用的聲話和寬頻服務提供資助，可我們本身並不提供服務。生命線資金不包含手機或任何其它終端使用者設備的費用”。