Amazon staat verkoop van Blu-smartphones weer toe na privacyzorgen

Amazon heeft bepaald dat smartphones van Blu weer in de VS verkocht mogen worden via zijn onlinemarktplaats. Vorige week besloot het bedrijf de verkoop stil te leggen, nadat onderzoekers zeiden dat de toestellen nog steeds gevoelige informatie doorsturen.

Blu liet via Twitter weten dat het om 'vals alarm' gaat en dat zijn toestellen weer op Amazon staan. De internetgigant liet in een verklaring aan Tom's Guide weten dat het deze beslissing heeft genomen na in gesprek te zijn getreden met de fabrikant. Het gaat om toestellen die voornamelijk in de VS worden verkocht.

In november ontdekte het beveiligingsbedrijf Kryptowire dat er software van het Chinese bedrijf Adups op onder andere de telefoons van Blu staat. Het bleek dat de software gevoelige gegevens, waaronder contacten, sms-berichten en de gespreksgeschiedenis, naar servers in China stuurde. Later ontdekte een ander beveiligingsbedrijf dat de software op toestellen van verschillende fabrikanten aanwezig is.

Op de afgelopen Black Hat-beveiligingsconferentie presenteerde Kryptowire opnieuw onderzoek over Blu, waaruit bleek dat het bedrijf nog steeds gevoelige informatie doorstuurt via Adups. In een aparte blogpost heeft het beveiligingsbedrijf uiteengezet om welke Blu-toestellen het precies gaat en wat voor data wordt verzameld. In een reactie op de bevindingen zei Blu dat er 'onjuistheden werden bericht' en dat het contact met Adups heeft gehad om de functionaliteit uit te schakelen.

De gegevens die verzameld worden, zouden 'standaard zijn voor ota-functionaliteit en basale rapportages'. Kryptowire liet toen weten alsnog achter zijn bevindingen te staan, omdat er duidelijk bewijs aanwezig is in de vorm van code en netwerkverkeer. Na de presentatie door het bedrijf had Amazon besloten om de verkoop van Blu-telefoons stop te zetten, maar het is daar nu dus op teruggekomen.

IT-banen

Reacties (16)

MAX3400 7 augustus 2017 10:49

Ook ZTE en Lenovo (en andere OEMs) hebben software van Adups op hun budget-telefoons geinstalleerd staan. Dit is namelijk noodzakelijk voor het deployen van OTA-firmware waarbij rekening wordt gehouden met de lagere specs van een aantal smartphones. Hierdoor kan de firmware in delen worden aangeboden aan toestellen zonder dat de interne opslag in 1x vol zit.

Het is wel zo dat het voor ZTE en Lenovo voornamelijk op smartphones staat die in de regio Azie worden verkocht maar gezien de topics op GoT, is er dus zomaar kans dat ook een aantal van deze toestellen in Europa aanwezig is en ook vanaf hier data verzendt naar Adups.

Tja, hoe "erg" is het; het verzenden van niet-genanonimiseerde data naar China klinkt wel eng. Maar de vraag is meer hoe enger/beter het is dan dat je een stock Android telefoon hebt die de hele dag met Google staat te brabbelen. Best of 2 evils?

3x3 @MAX3400 • 7 augustus 2017 11:10

Tja, hoe "erg" is het; het verzenden van niet-genanonimiseerde data naar China klinkt wel eng. Maar de vraag is meer hoe enger/beter het is dan dat je een stock Android telefoon hebt die de hele dag met Google staat te brabbelen.

Er zitten wel gigantische verschillen tussen Adups en Google.

1. Google informeert je over de data-verzameling, doet dit niet stiekem.
2. Google geeft je een (schijn) keuze, of je data verzameld wilt hebben.
3. Google is (een beetje) gereguleerd o.a. door de Europese Commissie.

1. Voor Google op je android telefoon data gaat verzamelen, via play service en andere services die je gebruikt op je telefoon moet je altijd toestemming geven voor de algemene voorwaarden waar in staat:

We verzamelen gegevens op de volgende manieren:
Gegevens die u aan ons levert. [...]
Gegevens die we ontvangen op basis van uw gebruik van onze services. [...]
Hoe we gegevens gebruiken die we verzamelen

We gebruiken de gegevens die we uit al onze services verzamelen om de services te leveren, te onderhouden, te beveiligen en te verbeteren, om nieuwe services te ontwikkelen en om Google en onze gebruikers te beschermen. We gebruiken deze gegevens ook om gepersonaliseerde inhoud aan u te leveren, zoals relevantere zoekresultaten en advertenties.

Daarnaast staat bij individuele 'services van google ook welke gegevens google verzameld via gebruik van hun services. Bij de meest noodzakelijke service, Google Play Service staat er bijvoorbeeld:

De app heeft toegang tot:
Apparaat- en appgeschiedenis
Hiermee kan de app een of meer van de volgende bekijken: informatie over activiteit op het apparaat, apps die actief zijn, browsegeschiedenis en bladwijzers
Identiteit. Gebruikt een of meer van de volgende: accounts op het apparaat, profielgegevens
Agenda. Gebruikt agendagegevens
Contacten. Gebruikt contactgegevens
Locatie. Gebruikt de locatie van het apparaat
Sms. Gebruikt een of meer van de volgende: sms, mms. Er kunnen kosten worden berekend.
Telefoon. Gebruikt een of meer van de volgende: telefoon, gesprekkenlijst. Er kunnen kosten worden berekend.
Foto's/media/bestanden. Gebruikt een of meer van de volgende: bestanden op het apparaat (zoals afbeeldingen, video's of audio), de externe opslag van het apparaat
Camera. Gebruikt de camera('s) van het apparaat
Microfoon. Gebruikt de microfoon(s) van het apparaat
Informatie over wifi-verbinding. Hiermee kan de app informatie over wifi-netwerken bekijken, zoals of wifi is ingeschakeld en de namen van apparaten waarmee via wifi verbinding is gemaakt
Informatie over apparaat-ID en oproepen. Hiermee kan de app het telefoonnummer en de apparaat-ID's bepalen, of een oproep actief is, en het andere telefoonnummer waarmee wordt gebeld
Wearable-sensoren/activiteitsgegevens. Hiermee kan de app toegang krijgen tot gegevens van wearable-sensoren, zoals hartslagmeters. Kan periodieke updates over fysieke activiteitsniveaus ontvangen.

Overig:
controleren op waarnemingen met betrekking tot netwerkomstandigheden
systeemback-up en -herstel beheren
Bluetooth-koppeling door app toestaan
Detectie van hotwords
audio-uitvoer vastleggen
beveiligde video-uitvoer vastleggen
video-uitvoer vastleggen
een gebruikerservaring bieden tijdens een gesprek
bestanden downloaden zonder melding
bewerkingsstatistieken van apps ophalen
interactie tussen gebruikers
activiteitstacks beheren
een apparaatbeheerder toevoegen of verwijderen
voorkeuren en machtigingen voor USB-apparaten beheren
gesproken trefwoorden beheren
Audioroutering
verrekening van netwerkgebruik aanpassen
gebruiksstatistieken van component bijwerken
Een trust agent aanleveren.
framebuffer lezen
je sociale stream lezen
actieve apps ophalen
Interactie met update- en herstelsysteem
score toekennen aan netwerken
tijd instellen
een taak starten vanuit recente items
geabonneerde feeds lezen
geabonneerde feeds schrijven
bewerkingsstatistieken van apps wijzigen
time-out van het scherm opnieuw instellen
schrijven naar sociale streams
Berichten verzenden naar Google Play.
voicemail lezen
gegevens van internet ontvangen
Google-instellingen lezen
Google-instellingen aanpassen.

Je weet dus wat er verzameld wordt, en door wie.

2. Daarnaast krijg je een keuze bij Google. Het is altijd opt-in. Je moet altijd eerst accepteren voor Google begint te verzamelen. Nu is het in mijn optiek wel een beetje een 'schijnkeuze' doordat er steeds meer api's in bijvoorbeeld gms zitten... heb je sterk verminderde functionaliteit op je android apparaat als je google niet alle bovenstaande gegevens laat verzamelen. Maartoch een keuze is een keuze. En ook Play-services kun je op je telefoon disabelen.

3. Ook de Europese commissie en andere toezichtshouders controleren Google actief, en geven dure boetes bij wangedrag. Dat zie ik niet gebeuren bij Adups, wat je als gebruiker veel minder bescherming geeft tegen wangedrag van die partij.

Al met al. Is de spyware van Adups wel iets om je zorgen te maken als consument. Je weet niet wie de gegevens verzamelt, welke gegevens er verzameld worden en wat er mogelijk mee gebeurd.

[Reactie gewijzigd door 3x3 op 23 juli 2024 02:57]

Armin

Netwerk en systeembeheer

@3x3 • 7 augustus 2017 22:22

Google informeert je over de data-verzameling, doet dit niet stiekem.

De verzameling zoals in 2016 gedaan was, was dan ook abject. Maar de huidige vorm van verzameling is in overeenstemming zoals Blu meldt. Niet meer stiekem.

Zoals het Tweakers artikel geschreven is, wordt gesuggeerd dat er anno 2017 nog steeds dezelfde data verzameld wordt als in 2016. Dat is niet zo. Die suggestie blijkt onjuist te zijn, en in dit geval kan ik niet anders concluderen dat Blu gelijk heeft.

Al met al. Is de spyware van Adups wel iets om je zorgen te maken als consument. Je weet niet wie de gegevens verzamelt, welke gegevens er verzameld worden en wat er mogelijk mee gebeurd.

Dat weet je wel. Tenminste op Blu telefoons, omdat nota bene het bedrijf dat in 2016 de ontdekking deed, ingehuurd is door Blu om dit te monitoren om zo alle schijn van kwalijke zaken weg te nemen.

Als je het 2017 "rapport" leest kun je precies zien welke data geupload wordt en kun je ook zien dat die in overeenstemming is met de Blu voorwaarden.

Realiteit is dat de berichtgeving zoals nu in diverse media gekomen is, oneerlijk tov Blu is. De suggestie wordt gewekt dat men in 2017 nog steeds niet hun leven gebeterd heeft.

bbob

Amazon
Privacy
Netwerk en systeembeheer

@MAX3400 • 7 augustus 2017 10:58

Ik lees 2 tegenstrijdige berichten in het artikel.

De gegevens die verzameld worden, zouden 'standaard zijn voor ota-functionaliteit en basale rapportages'. Kryptowire liet toen weten alsnog achter zijn bevindingen te staan, omdat er duidelijk bewijs aanwezig is in de vorm van code en netwerkverkeer.

De fabrikant zegt basale rapportages.
Kryptowire zegt iets heel anders.

Ik hecht meer waarde aan Kryptowire, zeker als ik, dan dit lees:

n een reactie op de bevindingen zei Blu dat er 'onjuistheden werden bericht' en dat het contact met Adups heeft gehad om de functionaliteit uit te schakelen.

Waarom het functionaliteit uitzetten als het toch om basale gegevens zou gaan.

Het lijkt er sterk op dat er toch meer word doorgegeven en men nu doet alsof er niets aan de hand is.

In de link naar eerder artikel op tweakers staat letterlijk

Het verzamelen van gegevens zou een fout zijn geweest die inmiddels is hersteld, aldus het bedrijf.

Er was dus zeker iets aan de hand en waarom nu 1.2 jaar later pas de boel uitzetten.
Dat het stinkt lijkt me wel erg duidleijk.

Armin

Netwerk en systeembeheer

@bbob • 7 augustus 2017 22:17

Kryptowire zegt iets heel anders.

Kryptowire zei iets heel anders in 2016.
Hun 2017 update echter zegt dat het inderdaad basale reportages zijn.

Merk verder op dat Kryptowire zelfs ingehuurd is na het 2016 incident om te monitoren dat dat ook gebeurd. $_/-\o_$

Als je leest wat er precies met de 2017 modellen aan de hand is, zie je ook dat dat inderdaad basale informatie is. Soortgelijke informatie die Apple naar hun servers stuurt, die Google naar hun servers stuurt, etc.

bbob

Amazon
Privacy
Netwerk en systeembeheer

@Armin • 8 augustus 2017 10:46

Als dat zo is waarom staat er dan in het artikel dat men het gaat uitzetten.

Armin

Netwerk en systeembeheer

@bbob • 8 augustus 2017 19:12

Dat staat er niet.

Het artikel is verwarrend. Dat is niet de schuld van Tweakers, maar van Kryptowire die hype gecreered heeft. Beetje smerig, aangezien ze nota bene ingehuurd zijn door Blu om dit te controleren.

Blu is wel bezig haar update stack om te gooien naar Google's OTA stack. Dan wordt deze vermeend privacy gevoelige data niet langer naar een Chinees, maar Amerikaans bedrijf gestuurd. Dat zal somige mensen wellicht een meer prettig gevoel geven, doch dat is als je eerlijk bent natuurlijk vooral subjectief want de data die verstuurd wordt is niet anders.

jetspiking Freelanceredacteur @MAX3400 • 7 augustus 2017 10:57

Ik geef je geen ongelijk, maar bij Google kun je tenminste het meerendeel uit zetten en heb je het zelf in de hand. Dat was bij Adups nog niet eens bekend, sterker nog, je weet niet eens of het op jouw toestel staat.

Armin

Netwerk en systeembeheer

@jetspiking • 7 augustus 2017 20:13

Ik geef je geen ongelijk, maar bij Google kun je tenminste het meerendeel uit zetten en heb je het zelf in de hand.

Enkel indien je custom roms installeerd. Stock Android praat de hele dag door met Google en je kunt er zo goed als niets aan doen.

Dat was bij Adups nog niet eens bekend, sterker nog, je weet niet eens of het op jouw toestel staat.

Echter eerlijk is eerlijk, dat is enkel het geval bij de oudere modellen. De nu genoemde kwetsbaarheden zijn echter van een totaal ander orde. Begrijpelijkd at Amazon de verkoop dus weer toestaat.

Wat dus niet zo is, en waar Blu dus terecht boos over is, is dat de suggestie bestaat dat men nu nog steeds ongevraagd allerlei privacy-gevoelige zaken upload. Het gaat nu om 3 toestellen, waarvan twee inderdaad enkel uploaden wat gebruikelijk is voor updates, en waar dus niets aan de hand is.

De derde heeft een kwetsbaarheid die niet gefixt is. De eerste budget Android telefoon die geen kwetsbaarheid heeft mag nu zijn hand opsteken ...

Let wel, ik beweer niet dat dit niet allemaal OK is, maar ik snap de ophef niet zo. Android is een inherent onveilig platform vanwege het gebrek aan updates. En het is bekend dat er allerlei data geupload wordt naar allerlei servers. Op zijn minst naar Google, maar ook naar servers zoals gerelateerd of ingehuurd door de OEM. En als je een China-phone neemt of OEM die in principe niet meer is dan een China-phone, dan betekent dat dat er zaken naar China gestuurd worden. Als je dat erg vindt, waarom gebruik je dan een Android van een (effectief) Chinese OEM?

jetspiking Freelanceredacteur @Armin • 7 augustus 2017 21:38

Goed dat is waar. Ik gebruik momenteel een Windows Phone, maar goed, wie weet ontvangt Microsoft ook het een en ander aan gegevens...

Armin

Netwerk en systeembeheer

@jetspiking • 7 augustus 2017 22:15

Dat doen ze ook.

Het gaat dan ook om vertrouwen. Als je Microsoft niet vertrouwt, dan moet je geen Windows Phoen nemen. Als je Apple niet vertrouwt, geen iPhone. Vertrouw je China niet geen Chinese OEM's want de updates gaan dan vaak via Chinese servers.

Immers, wat mensen in deze context missen en waar het Tweakers artikel niet helder over is, het gaat hier NIET om rechtstreekse gebruikers-data, maar meta data. Deze is uiteraard nog steeds potentieel privacy-gevoelig, maar dat heb je altijed met zaken als update scans etc.

Skadrow 7 augustus 2017 10:30

als je vertrouwen in dit bedrijf nu niet compleet weg is. is al de 3e keer dat ze betrapt worden op data delen met een chinees bedrijf. zelf noemen ze het een misunderstanding. geloof er geen bal meer van

Jeroen hofman @Skadrow • 7 augustus 2017 10:52

Droevig allemaal, gaat hier toch om privacy
En dan het zelfde bedrijf.
Net zoiets het gesjoemel met software voor de uitstoot van auto's. Ketting er op en sluiten al die toko's

BBRabbiB 7 augustus 2017 13:44

Het zou fijn zijn als er een lijst bestaat met alle telefoonmakers en OEM's die gebruik maken van dit soort praktijken. Dan maakt het een stuk makkelijker om een telefoon uit te zoeken om te kopen (of juist niet te kopen)

mutley69 7 augustus 2017 20:31

Da's voor mij geen enkele reden om een van de notaties op m'n zwarte lijst te schrappen - blu blijft buiten - voor eeuwig, al is't de enige smartphone die ik nog kan krijgen, ze zullen aan mij niks verdienen. Adups gaan we mee noteren op die lijst - als zijnde iets wat we ook weer niet willen.

Akino 7 augustus 2017 10:53

Servers in china,of servers in de us? Allebij niet wenselijk,maar als ik gebruiksvoorwaarden van 99,9% van beschikbare apps lees,verstuur je ook veel data,contactpersonen etc.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (16)

Sorteer op:

Weergave: