"Beveiliging en privacy voor onze klanten is voor ons ontzettend belangrijk. Alle Blu-telefoonmodellen zijn niet langer beschikbaar op amazon.com totdat dit probleem is opgelost," liet Amazon weten aan Cnet. De malware is ontdekt door onderzoekers van beveiligingsbedrijf Kryptowire die hun bevindingen bekend maakte op beveiligingsevenement Blackhat.

Foutje, bedankt

Het is niet de eerste keer dat Blu is betrapt. Vorig jaar werd er ook al malware aangetroffen op de Blu R1 HD, het populairste budgettoestel dat Amazon aanbood. Het bedrijf werd toen ook al door Amazon op de vingers getikt. Blu gaf destijds toe dat het een foutje was en dat het niet meer zou gebeuren, maar het blijkt dat de malware nooit is gestopt met het verzenden van verzamelde data naar servers in China. Daarnaast zijn er dit jaar andere varianten van de malware ontdekt op duurdere toestellen van Blu.

"Ze hebben [de malware] vervangen met mooiere versies. Ik heb het netwerkverkeer gecaptured door gebruik te maken van het command and control kanaal dat [de malwarebouwer] gebruikt," aldus Ryan Johnson van Kryptoware.

Ondertussen doen zowel de malwarebouwer (Adups) als Blu alsof hun neus bloedt. "De problemen die wij in 2016 hadden bestaan niet meer," laat een woordvoerder van het softwarebedrijf weten, terwijl Blu zegt dat de meldingen onjuist zijn en dat het niets verkeerd doet. "Wij hebben verschillende policies waarin wij de privacy en beveiliging van klanten serieus nemen."

Op de volgende pagina: Gigantische privacyschending, 700 miljoen apparaten!

Gigantische privacyschending

Doordat Johnson toegang had tot het command and control-kanaal van de malware kon hij precies zien waar de kwaadaardige software allemaal toe in staat was. De malwaremaker kon de toestellen op afstand overnemen en besturen met dezelfde rechten als de eigenaar. Het was mogelijk om apps te installeren, screenshots te maken, het scherm op te nemen, telefoontjes te plegen en het apparaat op afstand te wissen zonder toestemming van de gebruiker. Daarnaast kon het je internetgeschiedenis, bladwijzers en locatiedata op basis van GPS-informatie en telefoonpaal-ID uitlezen.

Blu is niet de enige

Blu wordt nu aangepakt door Amazon en verschillende toestellen, waaronder de Blu Grand M, Blu R1 HD, Blu Advance 5.0 en Blu Life One X2 zijn door Amazon uit het assortiment gehaald. Toch is Blu niet de enige fabrikant die z'n toestellen uitrust met malware. De beveiligingsonderzoekers vonden de malware van Adups op verschillende toestellen, veelal op goedkopere apparaten met een Mediatek-processor. Johnson vond de malware bijvoorbeeld ook op de Cubot X16S. Cubot reageerde niet op vragen over de malware, maar verwijderde deze vervolgens wel stilletjes.

Lees ook: Splinternieuwe smartphones, nu met trojan

Adups software staat op dit moment voorgeïnstalleerd op 700 miljoen apparaten waaronder auto's en andere non-smartphone-hardware. Het verschilt per apparaat en chipset in welke mate er informatie wordt verzameld.

Het is niet duidelijk wat Adups met de verzamelde data doet. Het bedrijf heeft gezegd de data simpelweg te verwijderen, maar dat is moeilijk te geloven.

Hoewel Blu zich voornamelijk richt op de Noord- en Zuid-Amerikaanse markt en de Caraïben, worden de toestellen ook wel eens in Nederland aangeboden op markten of via grijze importkanalen.