اكتشف خبراء أمنيون مؤخراً وجود برمجيات مثبتة مسبقاً على بعض الهواتف العاملة بنظام أندرويد، والتي تراقب أمكان ذهاب المستخدمين ومع من يتحدثون وماذا يكتبون في الرسائل النصية.
ووفقاً للخبراء فإنه يمكن لأي شخص دفع مبلغ بحدود 50 دولار للحصول على هاتف ذكي مع شاشة عالية الوضوح ومجهز للعمل مع خدمات البيانات عالية السرعة، إلا أن هناك إمكانية كبيرة لوجود ميزة سرية مخفية تعمل على إرسال جميع رسائل المستخدم النصية إلى الصين كل 72 ساعة.
وتقول السلطات الأمريكية أنه ليس من الواضح بعد فيما إذا كان هذا التصرف والحصول على بيانات المستخدمين السرية يتم لأغراض دعائية أو لأغراض جمع معلومات استخبارية للحكومة الصينية.
ويعتبر العملاء الدوليين ومستخدمي الهواتف التي يمكن التخلص منها أو المدفوعة مسبقاً هم أكثر المستخدمين تضرراً من هذه البرمجيات، ولكن حجم الضرر الكلي غير معروف بعد.
وتقول شركة Shanghai ADUPS Technology الصينية التي كتب البرنامج بأن برنامجها يعمل على أكثر من 700 مليون هاتف إلى جانب السيارات والأجهزة الذكية الأخرى.
وأشارت شركة BLU الأمريكية المصنعة للهواتف الذكية بأن 120 ألف هاتف من هواتفها تأثرت، وأنها قامت بإجراء تحديث لبرمجيات هواتفها للقضاء على هذه الميزة.
وصرحت شركة Kryptowire الأمنية التي اكتشفت الخلل بأن برمجية Adups تنقل كامل محتويات الرسائل النصية وقوائم الاتصال وسجلات المكالمات ومعلومات عن الموقع وغيرها من البيانات إلى مخدم صيني.
وأوضح نائب رئيس شركة Kryptowire التي يقع مقرها في مدينة فيرفاكس بولاية فرجينيا، توم كاريجيانيس: "يأتي البرنامج مثبتاً بشكل مسبق على الهواتف، ولا تظهر عملية المراقبة للمستخدمين، وحتى لو أراد المستخدم الحصول على معلومات حول الموضوع لن يتمكن من ذلك".
ويتكشف خبراء الأمن في كثير من الأحيان نقاط ضعف في الإلكترونيات الإستهلاكية، ولكن هذه الحالة استثنائية لأنها ليست خلل، بل قامت شركة Adups بشكل متعمد بتطوير البرنامج.
وأشارت الشركة عبر وثيقة قدمتها لمدراء شركة BLU التنفيذيين من أجل شرح المشكلة، بأنها صممت البرنامج لمساعدة الشركات الصينية المصنعة للهواتف على رصد سلوك المستخدم الصيني، وأضافت أن البرنامج ليس موجهاً للهواتف الأمريكية.
وقالت المحامية ليلي لي من بالو ألتو في كاليفورنيا الممثلة لشركة Adups "إن هذه الشركة شركة خاصة ارتكبت خطأ لا أكثر"، وأضافت المحامية أن شركة Adups لا تتبع للحكومة الصينية.
وتظهر هذه القضية بوضوح، الكيفية التي يمكن بها للشركات المزودة بالعتاد والبرمجيات المتواجدة في جميع أنحاء العالم خرق الخصوصية، بمعرفة أو دون معرفة الشركات المصنعة أو العملاء.
وتلقي هذه القضية أيضاً نظرة على الطريقة التي يمكن بها للشركات الصينية، المتهمة بتبعيتها للحكومة، رصد سلوك مستخدمي الهواتف المحمولة لسنوات عديدة.
وقد استخدمت الحكومة الصينية مجموعة متنوعة من الطرق لفلترة وتتبع استخدام الإنترنت ومراقبة المحادثات عبر الإنترنت، حيث يطلب من شركات التكنولوجيا التي تعمل في الصين اتباع قواعد صارمة.
وتقوم هذه القضية على نوع خاص من البرمجيات، والتي تعرف باسم البرمجيات الثابتة Firmware، وهي التي تعتبر القلب النابض للهاتف والتي تعمل على تشغيله.
وتوفر شركة Adups التعليمات البرمجية التي تسمح للشركات بتحديث البرمجيات الثابتة الخاصة بهواتفهم عن بعد، وهي وظيفة هامة ولكنها غير ظاهرة للمستخدمين بشكل واضح.
وتقوم الشركات المصنعة عادةً عند تحديث برمجياتها الثابتة بإخبار المستخدمين بما تقوم به وفيما إذا كان تستخدم أي معلومات شخصية، وأشارت شركة Kryptowire بأن هذا الأمر لم يحدث مع برمجية Adups.
ووفقاً لموقع الشركة على شبكة الإنترنت فإن Adups توفر برمجياتها لشركتين من أكبر الشركات المصعنة للهواتف المحمولة في العالم وهي ZTE وهواوي الصينيتين.
وقال الرئيس التنفيذي لشركة BLU التي يقع مقرها في ولاية فلوريدا في بيان "كان من الواضح أن هناك شيئاً لم نكن على علم به، وقد تحركنا بسرعة كبيرة لتصحيح ذلك"، وأضاف أن شركة Adups أكدت له أن جميع المعلومات المأخوذة من عملاء BLU قد دمرت.
وقد عملت الشركة على كتابة البرمجية بناءً على طلب شركة صينية مصنعة مجهولة الهوية، والتي أرادت الحصول على إمكانية تخزين سجلات المكالمات والرسائل النصية وغيرها من البيانات، وذلك وفقاً لوثيقة Adups.
وأشارت المحامية الممثلة للشركة الصينية بأن البرمجية كانت تقصد مساعدة العميل الصيني على تحديد الرسائل النصية والمكالمات غير المرغوب بها، وأضافت أنها لا تعرف الشركة الصينية المصنعة التي طلبت البرمجية ولا تعرف عدد الهواتف التي تأثرت.
وأضافت المحامية أن الشركات المصنعة للهواتف، وليس Adups، هي المسؤولة فيما يخص الكشف عن سياسات الخصوصية للمستخدمين، وأن Adups عملت على توفير وظيفة طلبتها شركة مصنعة للهاتف.
وقال مسؤول في شركة غوغل إن هواتف أندرويد تعمل بواسطة نظام التشغيل الذي طورته غوغل والذي يجري توزيعه بشكل مجاني على مصنعي الهواتف لتخصيصه.
وأضاف المسؤول أن غوغل طلبت من شركة Adups الصينية إزالة إمكانية المراقبة من هواتف أندرويد التي تعمل عليها خدمات مثل متجر غوغل بلاي Google Play.
ولا يشمل هذا الطلب الأجهزة المباعة في الصين، حيث يتواجد هناك مئات الملايين من المستخدمين الذين يستعملون هواتف أندرويد ولكن بدون خدمات غوغل، وذلك بسبب الرقابة.
ولا توجد إمكانية واضحة حالياً للسماح للمستخدمين بتحديد فيما إذا كانت هواتفهم متأثرة، وذلك بسبب عدم قيام شركة Adups بنشر لائحة الهواتف المتضررة.
وقد اكتشفت شركة Kryptowire الأمنية المشكلة عن طريق الصدفة البحتة، وذلك بعد قيام أحد الباحثين لديها بشراء هاتف BLU R1 HD منخفض الثمن من أجل استخدامه في رحلة خارجية.
وقد لاحظ الباحث نشاطاً غير عادي للشبكة أثناء إعداد الهاتف، واكتشف في الأسبوع اللاحق أن الهاتف يرسل رسائل نصية إلى خادم في شنغهاي، والذي كان مسجلاً باسم شركة Adups.
وقد سلمت شركة Kryptowire نتائج بحثها إلى حكومة الولايات المتحدة الأمريكية، وقالت المتحدثة باسم وزارة الأمن الداخلي مارشا كاترون "في الآونة الأخيرة توفر لدى الوكالة معلومات فيما يخص المخاوف التي اكتشفتها شركة Kryptowire، وإن الوكالة تعمل مع شركائها من القطاع العام والخاص لتحديد الاستراتيجيات الملائمة للتخفيف من حدة المشكلة".