Nad avastasid, et Realme, Xiaomi ja OnePlus nutitelefonid lekisid isikuandmeid

Androidi operatsioonisüsteemi privaatsus luubi all

Hiljuti levis uudis, et rühm Edinburghi ülikooli teadlased avaldasid tulemuse de aastal tehtud analüüs nutitelefonide kaubamärgid Realme, Xiaomi ja OnePlus tarnitud Hiina ja maailmaturule ja kus nad tuvastasid, et need neil oli midagi konkreetset, "isikuandmete leket".

On avastatud, et kõik Hiinas müügil olevad püsivaraga seadmed saadavad lisateavet serveritesse telemeetria kogumiseks, nagu kasutaja telefoninumber, rakenduse kasutusstatistika, samuti asukohaandmed, IMSI (individuaalne abonendinumber), ICCID (SIM-kaardi seerianumber) ja traadita pääsupunkte ümbritsevad punktid. Samuti on teatatud, et Realme ja OnePlus seadmed voogesitavad kõnede ja SMS-ide ajalugu.

Hiina on praegu kõige suurema Android-nutitelefoni kasutajate arvuga riik. Kasutame staatilise ja dünaamilise koodianalüüsi tehnikate kombinatsiooni, et uurida kolme Hiina populaarseima müüja Android-nutitelefoni eelinstallitud süsteemirakenduste kaudu edastatavaid andmeid.

Leidsime, et murettekitavalt paljudel eelinstallitud süsteemimüüjatel ja kolmandate osapoolte rakendustel on ohtlikud õigused.

Tasub seda mainida ülemaailmse turu püsivara puhul sellist tegevust mõne erandiga ei täheldataNäiteks Realme seadmed saadavad MCC (riigikood) ja MNC (mobiilsidevõrgu kood) ning Xiaomi Redmi seadmed saadavad andmeid ühendatud Wi-Fi, IMSI ja kasutusstatistika kohta.

Olenemata püsivara tüübist, kõik seadmed saadavad IMEI identifikaatori, installitud rakenduste loendi, operatsioonisüsteemi versiooni ja riistvaraparameetrid. Andmeid saadavad tootja installitud süsteemirakendused ilma kasutaja nõusolekuta, kohaletoimetamist teavitamata ning sõltumata privaatsusseadetest ja kohaletoimetamise telemeetriast.

Liiklusanalüüsi abil avastasime, et paljud neist pakettidest võivad edastada paljudele kolmandate osapoolte domeenidele tundlikku privaatsusteavet, mis on seotud kasutaja seadmega (püsivad identifikaatorid), geograafilise asukohaga (GPS).
koordinaadid, võrguga seotud identifikaatorid), kasutajaprofiil (telefoninumber, rakenduse kasutus) ja sotsiaalsed suhted (nt kõneajalugu), ilma nõusoleku või isegi teavituseta.

See põhjustab tõsist anonüümsuse kaotamist ja jälgimist, samuti riske, mis levivad kasutaja lahkumisel Hiinast väljapoole.
ning nõuab hiljuti vastu võetud andmekaitsealaste õigusaktide rangemat jõustamist.

telefonis Redmi, andmed saadetakse hostile tracking.miui.com tootja eelinstallitud rakenduste (nt Sätted, Märkmed, Salvesti, Telefon, Sõnumid ja Kaamera) avamisel ja kasutamisel, sõltumata kasutaja nõusolekust, et saata esmase seadistamise ajal diagnostikaandmeid. seadmetes Realme ja OnePlus, andmed saadetakse hostidele log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com või aps.amap.com.

Tunneldamisserver võtab telefonilt vastu ühendused ja edastab need ettenähtud sihtkohtadesse, mainitakse, et teadlased rakendasid HTTP/HTTPS liikluse pealtkuulamiseks ja dekrüpteerimiseks vahendava puhverserveri.

Huawei telefoni algatatud päringute täielikuks isoleerimiseks pilvsõnumsides, mida kasutatakse hostitud virtuaalmasina (VM) jälgimiseks, loodi tunnel, mida nimetatakse tunneli puhverserveri käitamiseks. Samuti käitasid nad VM-i pordis 8.0.0 superkasutaja lubadega mitmproxy 8080 ja konfigureerisid iptables'id, et suunata kõik tunneldatud TCP-ühendused ümber saidile locahost:8080.

Sel viisil suhtleb mitmproxy telefoniga serveri lõpp-punktide päringute nimel ja algatab telefonina esinedes uusi päringuid sihtserveri lõpp-punktidele, võimaldades mitmproxyl iga päringu pealtkuulamist.

Tuvastatud probleemidest torkab silma ka täiendavate kolmandate osapoolte rakenduste tarnimisse kaasamine, millele antakse vaikimisi pikendatud õigused. Võrreldes Android AOSP koodibaasiga, on iga kaalutud püsivaraga kaasas enam kui 30 tootja poolt eelinstallitud kolmanda osapoole rakendust.

Lõpuks, kui olete huvitatud selle kohta lisateabest, võite pöörduda üksikasjad järgmisel lingil.