Soukromí operačního systému Android pod lupou
Nedávno se objevila zpráva, že skupina výsledky zveřejnili vědci z University of Edinburgh de analýza provedená v značky smartphonů Realme, Xiaomi a OnePlus dodávané na čínský a světový trh a na kterých zjistili, že tyto měli něco konkrétního, „úniky osobních údajů“.
Bylo objeveno, že všechna zařízení s firmwarem na prodej v Číně zasílají další informace na servery pro shromažďování telemetrie, jako je telefonní číslo uživatele, statistiky používání aplikací a také údaje o poloze, IMSI (číslo individuálního předplatitele), ICCID (sériové číslo SIM karty) a body obklopující bezdrátové přístupové body. Také bylo hlášeno, že zařízení Realme a OnePlus streamují historii hovorů a SMS.
Čína je v současnosti zemí s největším počtem uživatelů smartphonů Android. Ke studiu dat přenášených systémovými aplikacemi předinstalovanými na chytrých telefonech Android od tří nejoblíbenějších dodavatelů v Číně používáme kombinaci technik statické a dynamické analýzy kódu.
Zjistili jsme, že alarmující počet předinstalovaných dodavatelů systému a aplikací třetích stran má nebezpečná oprávnění.
Za zmínku stojí ve firmwaru pro globální trh taková aktivita až na výjimky pozorována neníNapříklad zařízení Realme odesílají MCC (kód země) a MNC (kód mobilní sítě) a zařízení Xiaomi Redmi odesílají data o připojené Wi-Fi, IMSI a statistikách využití.
Bez ohledu na typ firmwaru, všechna zařízení odesílají identifikátor IMEI, seznam nainstalovaných aplikací, verzi operačního systému a hardwarové parametry. Data jsou odesílána výrobcem nainstalovanými systémovými aplikacemi bez souhlasu uživatele, bez upozornění na doručení a bez ohledu na nastavení soukromí a telemetrii doručení.
Prostřednictvím analýzy provozu jsme zjistili, že mnoho z těchto paketů může přenášet do mnoha domén třetích stran citlivé informace o soukromí související se zařízením uživatele (trvalé identifikátory), geolokací (GPS
souřadnice, identifikátory související se sítí), uživatelský profil (telefonní číslo, používání aplikace) a sociální vztahy (např. historie hovorů), a to bez souhlasu nebo dokonce upozornění.To představuje vážnou deanonymizaci a sledování a také rizika, která se přenesou mimo Čínu, když uživatel odejde.
země a vyzývá k důslednějšímu prosazování nedávno přijatých právních předpisů o ochraně osobních údajů.
na telefonu Redmi, data jsou odesílána na hostitelský tracking.miui.com při otevírání a používání předinstalovaných aplikací výrobce, jako jsou Nastavení, Poznámky, Záznamník, Telefon, Zprávy a Fotoaparát, bez ohledu na souhlas uživatele, k odesílání diagnostických dat během počátečního nastavení. na zařízeních Realme a OnePlus jsou data odesílána na hostitele log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com nebo aps.amap.com.
Tunelovací server přijímá spojení z telefonu a předává je zamýšleným cílům, je zmíněno, že výzkumníci implementovali zprostředkující proxy, aby byli schopni zachytit a dešifrovat HTTP/HTTPS provoz.
Aby bylo možné zcela izolovat požadavky iniciované telefonem Huawei v Cloud Messaging, který se používá k monitorování hostovaného virtuálního počítače (VM), byl vytvořen tunel s názvem spuštění tunelovacího proxy serveru. Spustili také mitmproxy 8.0.0 s oprávněními superuživatele na portu 8080 na virtuálním počítači a nakonfigurovali iptables pro přesměrování všech tunelovaných připojení TCP na locahost:8080.
Tímto způsobem mitmproxy komunikuje s telefonem jménem požadavků z koncových bodů serveru a iniciuje nové požadavky na koncové body cílového serveru tím, že se vydává za telefon, což umožňuje mitmproxy zachytit každý požadavek.
Z identifikovaných problémů vyniká také zahrnutí do doručování dalších aplikací třetích stran, kterým jsou standardně udělena rozšířená oprávnění. Celkově je v porovnání s kódovou základnou Android AOSP každý uvažovaný firmware dodáván s více než 30 aplikacemi třetích stran předinstalovanými výrobcem.
Nakonec, pokud máte zájem o tom vědět více, můžete se obrátit na podrobnosti v následujícím odkazu.
Jaká novinka, která se neděje pouze u čínských mobilních telefonů, děje se tak u všech mobilních telefonů na světě a kdo věří opak, je ignorant.
Je pravda, že mobilní telefony jsou únikem dat a že to není překvapivé, ale vzhledem k výběru je dávám raději Googlu než čínské vládě.
O uvedené studii nejsou žádné zprávy, zdá se, že je za současných okolností velmi polarizovaná. Ve skutečnosti neexistuje žádný 100% bezpečný smartphone.