美研究机构发现：某中国厂商仍在手机中植入后门

根据Malwarebytes移动安全研究小组的研究成果，许多Android用户可能仍然在设备上有后门。

又是某升？

事实上，他们的发现与去年的Adups事件有关。Adups（广升公司）已经在FreeBuf出现过多次。2016年11月中旬，多家外媒曾报道多个品牌的Android手机的固件存在后门，每隔72小时会将短信内容、联系人等信息回传至中国，美国网络安全公司Kryptowire表示，一家名为Adups的中国公司创建的固件代码正在收集大量的用户信息，并将其发送到位于中国的服务器，该固件就是由上海广升公司开发。
根据广升官网的宣传，广升提供FOTA技术服务，目前已与700家领先的芯片厂商、方案设计厂商、ODM/OEM厂商、智能硬件品牌厂商达成战略合作伙伴关系。有7亿设备，包括汽车，使用了该公司的软件。当时的事件影响了众多Android手机型号，国外媒体一片哗然。
Kryptowire称，后门代码会收集短信，通话记录，地址簿，应用程序列表，电话硬件标识符，也能安装新的应用程序或更新现有应用。后门隐藏在一个名为com.adups.fota的内置预装的应用程序中，com.adups.fota是负责手机固件无线更新（FOTA）系统的组件。
当时，专家们认为Adups向其他手机厂商提供了组件，最终安装在了7亿多设备中，其中大多数是廉价Android手机，有些则是Android Barnes＆Noble NOOK的平板。
事件曝光后，很多厂商不再出售存在漏洞的机型，而广升集团之后也发布了无后门，不收集收集信息的FOTA组件。尽管今年八月Black Hat 2017上研究人员称，有些设备仍然在收集数据。

但根据Malwarebytes最近的一项调查，部分组件中仍然存在漏洞。

后门出自另一款组件

Malwarebytes表示，它发现另一款Adups组件在做坏事。就像之前的Adups后门一样，这个应用程序也是无法移除的，用户也无法禁用。
这个新的组件有两个包名com.adups.fota.sysoper和com.fw.upgrade.sysoper，在手机的应用列表里显示的名称是UpgradeSys (FWUpgradeProvider.apk)。
第二个组件可以在名称为UpgradeSys（FWUpgradeProvider.apk）的名称下找到，例如com.adups.fota.sysoper或com.fw.upgrade.sysoper，它们出现在手机的应用程序列表中。

如何删除应用程序

唯一能够删除组件的方法是root设备，但是很多手机厂商并不推荐这样的方法，这可能会带来安全问题。
还有一个名为Debloater的Windows应用程序可以移除UpgradeSys组件，但这个软件没有在所有Android设备上测试过，有可能导致意外。
Malwarebytes表示，目前他们还没有发现应用执行的恶意操作，但这并不能保证广升或黑客不会利用它进行攻击。
最常见的解释是广升在去年清理FOTA组件后忘记从UpgradeSys组件中删除干扰代码。

还不清楚有多少手机受到了影响，但是Collier表示，“有报道说这个手机是从英国等国的合法电话运营商购买的。”

* 参考来源：BleepingComputers，作者Sphinx，转载注明来自Freebuf.COM