તેઓએ શોધ્યું કે Realme, Xiaomi અને OnePlus સ્માર્ટફોન પર્સનલ ડેટા લીક કરે છે

બૃહદદર્શક કાચ હેઠળ એન્ડ્રોઇડ ઓપરેટિંગ સિસ્ટમની ગોપનીયતા

તાજેતરમાં સમાચાર તોડ્યા કે એક જૂથ એડિનબર્ગ યુનિવર્સિટીના સંશોધકોએ પરિણામ પ્રકાશિત કર્યું de માં કરવામાં આવેલ વિશ્લેષણ સ્માર્ટફોન બ્રાન્ડ્સ Realme, Xiaomi અને OnePlus ચાઇનીઝ અને વિશ્વ બજારોમાં સપ્લાય કરવામાં આવે છે અને જેમાં તેઓએ શોધી કાઢ્યું હતું કે આ તેમની પાસે ખાસ કરીને કંઈક હતું, "વ્યક્તિગત ડેટા લીક".

તે શોધાયું છે ચીનમાં વેચાણ માટેના ફર્મવેરવાળા તમામ ઉપકરણો વધારાની માહિતી મોકલે છે ટેલિમેટ્રી કલેક્શન માટે સર્વર્સ પર, જેમ કે યુઝરનો ફોન નંબર, એપ્લિકેશન વપરાશના આંકડા, તેમજ લોકેશન ડેટા, IMSI (વ્યક્તિગત સબસ્ક્રાઇબર નંબર), ICCID (SIM કાર્ડ સીરીયલ નંબર) અને વાયરલેસ એક્સેસ પોઈન્ટની આસપાસના પોઈન્ટ. ઉપરાંત, Realme અને OnePlus ઉપકરણોને કૉલ અને SMS ઇતિહાસ સ્ટ્રીમ કરવા માટે જાણ કરવામાં આવી છે.

હાલમાં ચીન સૌથી વધુ એન્ડ્રોઇડ સ્માર્ટફોન યુઝર ધરાવતો દેશ છે. અમે ચીનના ત્રણ સૌથી લોકપ્રિય વિક્રેતાઓમાંથી Android સ્માર્ટફોન પર પ્રી-ઇન્સ્ટોલ કરેલી સિસ્ટમ એપ્લિકેશનો દ્વારા પ્રસારિત ડેટાનો અભ્યાસ કરવા માટે સ્ટેટિક અને ડાયનેમિક કોડ વિશ્લેષણ તકનીકોના સંયોજનનો ઉપયોગ કરીએ છીએ.

અમને જાણવા મળ્યું છે કે પ્રી-ઇન્સ્ટોલ કરેલ સિસ્ટમ વેન્ડર અને તૃતીય-પક્ષ એપ્લિકેશન્સની અલાર્મિંગ સંખ્યા જોખમી વિશેષાધિકારો ધરાવે છે.

તે ઉલ્લેખનીય છે વૈશ્વિક બજાર માટે ફર્મવેરમાં, આવી પ્રવૃત્તિ કેટલાક અપવાદો સાથે જોવા મળતી નથીઉદાહરણ તરીકે, Realme ઉપકરણો MCC (દેશ કોડ) અને MNC (મોબાઇલ નેટવર્ક કોડ) મોકલે છે, અને Xiaomi Redmi ઉપકરણો કનેક્ટેડ Wi-Fi, IMSI અને વપરાશના આંકડા વિશેનો ડેટા મોકલે છે.

ફર્મવેરના પ્રકારને ધ્યાનમાં લીધા વિના, બધા ઉપકરણો IMEI ઓળખકર્તા, ઇન્સ્ટોલ કરેલ એપ્લિકેશન્સની સૂચિ, ઓપરેટિંગ સિસ્ટમનું સંસ્કરણ અને હાર્ડવેર પરિમાણો મોકલે છે. વપરાશકર્તાની સંમતિ વિના, ડિલિવરીની સૂચના વિના, અને ગોપનીયતા સેટિંગ્સ અને ડિલિવરી ટેલિમેટ્રીને ધ્યાનમાં લીધા વિના ઉત્પાદક દ્વારા ઇન્સ્ટોલ કરેલ સિસ્ટમ એપ્લિકેશનો દ્વારા ડેટા મોકલવામાં આવે છે.

ટ્રાફિક વિશ્લેષણ દ્વારા, અમને જાણવા મળ્યું છે કે આમાંના ઘણા પેકેટો વપરાશકર્તાના ઉપકરણ (સતત ઓળખકર્તાઓ), ભૌગોલિક સ્થાન (GPS) સંબંધિત સંવેદનશીલ ગોપનીયતા માહિતીને ઘણા તૃતીય-પક્ષ ડોમેન્સ પર ટ્રાન્સમિટ કરી શકે છે.
કોઓર્ડિનેટ્સ, નેટવર્ક-સંબંધિત ઓળખકર્તાઓ, વપરાશકર્તા પ્રોફાઇલ (ફોન નંબર, એપ્લિકેશન ઉપયોગ) અને સામાજિક સંબંધો (દા.ત. કૉલ ઇતિહાસ), સંમતિ વિના અથવા સૂચના પણ.

આનાથી ગંભીર ડી-અનામીકરણ અને ટ્રેકિંગ તેમજ જોખમો કે જે યુઝર છોડે ત્યારે ચીનની બહાર ફેલાય છે.
દેશની, અને તાજેતરમાં અપનાવવામાં આવેલા ડેટા ગોપનીયતા કાયદાના વધુ સખત અમલ માટે હાકલ કરે છે.

ફોન પર Redmi, ડેટા હોસ્ટ tracking.miui.com પર મોકલવામાં આવે છે પ્રારંભિક સેટઅપ દરમિયાન ડાયગ્નોસ્ટિક ડેટા મોકલવા માટે, વપરાશકર્તાની સંમતિને ધ્યાનમાં લીધા વિના, નિર્માતાની પૂર્વ-ઇન્સ્ટોલ કરેલી એપ્લિકેશનો જેમ કે સેટિંગ્સ, નોંધો, રેકોર્ડર, ફોન, સંદેશાઓ અને કૅમેરા ખોલતી વખતે અને તેનો ઉપયોગ કરતી વખતે. ઉપકરણો પર Realme અને OnePlus, ડેટા હોસ્ટ log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com અથવા aps.amap.com પર મોકલવામાં આવે છે.

ટનલીંગ સર્વર ફોનમાંથી કનેક્શન મેળવે છે અને તેમને ઇચ્છિત સ્થળો પર ફોરવર્ડ કરે છે, તે ઉલ્લેખિત છે કે સંશોધકોએ HTTP/HTTPS ટ્રાફિકને અટકાવવા અને ડિક્રિપ્ટ કરવામાં સક્ષમ થવા માટે મધ્યસ્થી પ્રોક્સીનો અમલ કર્યો છે.

હોસ્ટેડ વર્ચ્યુઅલ મશીન (VM) ને મોનિટર કરવા માટે ઉપયોગમાં લેવાતા ક્લાઉડ મેસેજિંગમાં Huawei ફોન દ્વારા શરૂ કરવામાં આવેલી વિનંતીઓને સંપૂર્ણપણે અલગ કરવા માટે, ટનલિંગ પ્રોક્સી સર્વરને ચલાવવા માટે એક ટનલ બનાવવામાં આવી હતી. તેઓ VM પર પોર્ટ 8.0.0 પર સુપરયુઝર પરવાનગીઓ સાથે mitmproxy 8080 પણ ચલાવતા હતા અને કોઈપણ ટનલ TCP કનેક્શનને locahost:8080 પર રીડાયરેક્ટ કરવા માટે iptables ગોઠવ્યા હતા.

આ રીતે, mitmproxy સર્વર એન્ડપોઈન્ટની વિનંતીઓ વતી ફોન સાથે વાતચીત કરે છે અને ફોન તરીકે પોઝ કરીને ડેસ્ટિનેશન સર્વર એન્ડપોઈન્ટ પર નવી વિનંતીઓ શરૂ કરે છે, mitmproxy દરેક વિનંતીને અટકાવી શકે છે.

ઓળખવામાં આવેલી સમસ્યાઓમાંથી, વધારાની તૃતીય-પક્ષ એપ્લિકેશનોની ડિલિવરીમાં સમાવેશ, જેને મૂળભૂત રીતે વિસ્તૃત પરવાનગીઓ આપવામાં આવે છે, તે પણ અલગ છે. કુલ મળીને, એન્ડ્રોઇડ AOSP કોડબેઝની સરખામણીમાં, દરેક ગણવામાં આવેલ ફર્મવેર ઉત્પાદક દ્વારા પૂર્વ-ઇન્સ્ટોલ કરેલ 30 થી વધુ તૃતીય-પક્ષ એપ્લિકેશનો સાથે આવે છે.

આખરે, જો તમને તેના વિશે વધુ જાણવામાં રુચિ હોય, તો તમે આની સલાહ લઈ શકો છો નીચેની લીંક પર વિગતો.