“存話費，送智能手機，只需990！”
“預存500元話費，手機免費送！”
“全民狂歡，買就送！”
你是否曾對某些移動通訊公司打出的此類口號心動不已，剁手不停呢？但如果你知道廉價安卓手機有可能泄露個人數據，還敢貪小便宜買買買嗎？
雷鋒網消息，不久前，在美國拉斯維加斯舉行的全球最為知名的黑客大會BlackHat上，安全公司Kryptowire表示他們在美國銷售的低端Android手機BLU固件中發現了一個后門，會將用戶的大量私人信息，比如手機號碼、位置數據、短信內容、呼叫信息、安裝和使用的應用等等發送到提供固件的中國公司服務器上。
納尼？這不就是監控！
而收集這些數據的還是中國公司，老美皺緊眉頭，覺得事情很不簡單。
但提供固件的上海廣升信息技術有限公司表示自己也很無辜，這就是個失誤，而所謂軟件的監視功能是為中國市場設計的，幫助中國手機制造商監視用戶行為，不小心包含在美國銷售的BLU設備中。
還監視自己人？
反正廣升就是咬定自己是一家私人公司，它的軟件運行在全球超過7億臺設備上，包括手機、平板和車載娛樂系統，這些軟件被華為和中興的手機使用，也用于美國亞馬遜和百思買售價50美元的BLUR1HD廉價Android智能手機。
你看，我們自己的牌子都在用，怎么會有專門監視這一說呢。中國政府收集情報？沒可能的。
但任他如何辯駁，已經確定是，這個后門包含在固件的OTA更新軟件中，它以JSON格式向廣升的大數據服務器發送數據，這些服務器的域名包括了bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn和bigdata.advmob.cn。
收集信息，到底有幾種姿勢？
BLU固件后門事件只是個例，而折射出來的卻是對廉價智能手機安全性的擔憂。
掘金網的安卓開發工程師涂鴉揭示了手機廠商收集信息的幾種可能。
第一，用了高版本的系統，但是故意留下了后門給自己用，比如BLU固件中被發現的后門。也就是說，操作系統本身是沒有后門的，可能的是BLU的開發人員利用了開源的安卓系統，故意給自己寫了后門。
“就像一直流傳的Windows留有后門收集用戶信息一樣，開發人員自己寫代碼編譯了操作系統，無論背后有什么，也只有天知地知自己知道了。”
第二，用了低版本的系統，明知有問題不處理。
雷鋒網了解到，去年三月，谷歌曾發布過一次root權限安全漏洞的警告，它們將一個Linux內核漏洞（編號為CVE-2015-1805)標記為嚴重，而這起事件的導火索是有開發者在Play商店上架了含有該漏洞代碼的軟件，導致一些用戶被強制獲取了root從而引發信息泄露問題。
隨后，谷歌安全小組封鎖了這個能獲取root權限的高危BUG，并在開源項目版安卓系統上打上了補丁。
具體參考2016年1月Nexus安全公告

“但當時很多硬件廠商沒有給用戶提供升級，就可能會存在root權限漏洞的問題。黑客如果通過這個漏洞拿到了root權限，用戶的個人信息就很危險了。”
顯然，手機系統版本過低可能造成黑客攻擊。
對應國內一票廉價手機，過差的硬件導致無法支持高版本的安卓系統，只能裝低版本的系統，其中的漏洞成為誘惑黑客攻擊的一塊肥肉。
第三，用了低版本的系統，并不清楚有問題，被別人利用了。
這種純屬手機廠商傻白甜，就不多做分析了。
某廉價安卓手機被爆藏后門，你還敢用嗎？
而針對這次事件，究竟有多少部手機有泄露隱私可能呢？
雷鋒網了解到，BLU系列12萬部手機受到影響，手機廠商方表示他們已經更新了軟件，刪除了這個功能。
到底刪沒刪除誰也不能肯定，反正亞馬遜已經下線了所有BLU所有型號的產品。
BLU已經被打了一大半，但其他廉價手機呢，是否還在偷摸收集用戶信息？
反正，少去蹦迪，把錢花在手機上沒什么不好。