उन्होंने पाया कि रियलमी, श्याओमी और वनप्लस स्मार्टफोन्स ने पर्सनल डेटा लीक किया है

Darkcrizt

4 मिनट

स्मार्टफोन्स पर डेटा लीक

आवर्धक कांच के नीचे एंड्रॉइड ऑपरेटिंग सिस्टम की गोपनीयता

हाल ही में खबर टूट गई कि का एक समूह एडिनबर्ग विश्वविद्यालय के शोधकर्ताओं ने परिणाम प्रकाशित किया de में किया गया विश्लेषण स्मार्टफोन ब्रांड रियलमी, श्याओमी और वनप्लस चीनी और विश्व बाजारों में आपूर्ति की और जिसमें उन्होंने पाया कि ये उनके पास विशेष रूप से कुछ था, "व्यक्तिगत डेटा लीक"।

यह पता चला है कि चीन में बिक्री के लिए फर्मवेयर वाले सभी उपकरण अतिरिक्त जानकारी भेजते हैं टेलीमेट्री संग्रह के लिए सर्वर, जैसे कि उपयोगकर्ता का फ़ोन नंबर, एप्लिकेशन उपयोग के आँकड़े, साथ ही स्थान डेटा, IMSI (व्यक्तिगत सब्सक्राइबर नंबर), ICCID (सिम कार्ड सीरियल नंबर) और वायरलेस एक्सेस पॉइंट के आसपास के बिंदु। साथ ही, रियलमी और वनप्लस डिवाइसेज में कॉल और एसएमएस हिस्ट्री स्ट्रीम करने की जानकारी मिली है।

चीन वर्तमान में Android स्मार्टफोन उपयोगकर्ताओं की सबसे बड़ी संख्या वाला देश है। हम चीन में तीन सबसे लोकप्रिय विक्रेताओं से Android स्मार्टफ़ोन पर पहले से इंस्टॉल किए गए सिस्टम ऐप द्वारा प्रेषित डेटा का अध्ययन करने के लिए स्थिर और गतिशील कोड विश्लेषण तकनीकों के संयोजन का उपयोग करते हैं।

हमने पाया कि पहले से इंस्टॉल किए गए सिस्टम वेंडर और थर्ड-पार्टी ऐप्स की एक खतरनाक संख्या में खतरनाक विशेषाधिकार हैं।

यह उल्लेखनीय है वैश्विक बाजार के फर्मवेयर में, कुछ अपवादों के साथ ऐसी गतिविधि नहीं देखी जाती हैउदाहरण के लिए, रीयलमे डिवाइस एमसीसी (देश कोड) और एमएनसी (मोबाइल नेटवर्क कोड) भेजते हैं, और ज़ियामी रेड्मी डिवाइस कनेक्टेड वाई-फाई, आईएमएसआई और उपयोग आंकड़ों के बारे में डेटा भेजते हैं।

फर्मवेयर के प्रकार के बावजूद, सभी डिवाइस एक IMEI पहचानकर्ता, इंस्टॉल किए गए एप्लिकेशन की सूची, ऑपरेटिंग सिस्टम का संस्करण और हार्डवेयर पैरामीटर भेजते हैं. उपयोगकर्ता की सहमति के बिना, वितरण की सूचना के बिना, और गोपनीयता सेटिंग्स और वितरण टेलीमेट्री की परवाह किए बिना निर्माता द्वारा स्थापित सिस्टम एप्लिकेशन द्वारा डेटा भेजा जाता है।

ट्रैफ़िक विश्लेषण के माध्यम से, हमने पाया कि इनमें से कई पैकेट कई तृतीय-पक्ष डोमेन को उपयोगकर्ता के डिवाइस (स्थायी पहचानकर्ता), जियोलोकेशन (जीपीएस) से संबंधित संवेदनशील गोपनीयता जानकारी प्रसारित कर सकते हैं
निर्देशांक, नेटवर्क से संबंधित पहचानकर्ता), उपयोगकर्ता प्रोफ़ाइल (फ़ोन नंबर, ऐप उपयोग) और सामाजिक संबंध (जैसे कॉल इतिहास), बिना सहमति या सूचना के।

यह गंभीर डी-एनोनिमाइजेशन और ट्रैकिंग के साथ-साथ जोखिम भी पैदा करता है जो उपयोगकर्ता के जाने पर चीन के बाहर फैल जाता है।
देश का, और हाल ही में अपनाए गए डेटा गोपनीयता कानून के अधिक कठोर प्रवर्तन का आह्वान करता है।

एन उन टेलीफ़ोनो Redmi के डेटा को होस्ट Tracking.miui.com पर भेजा जाता है प्रारंभिक सेटअप के दौरान डायग्नोस्टिक डेटा भेजने के लिए उपयोगकर्ता की सहमति की परवाह किए बिना सेटिंग्स, नोट्स, रिकॉर्डर, फोन, संदेश और कैमरा जैसे निर्माता के पहले से इंस्टॉल किए गए ऐप को खोलते और उपयोग करते समय। उपकरणों पर रियलमी और वनप्लस के लिए डेटा होस्ट्स log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com या aps.amap.com पर भेजा जाता है।

टनलिंग सर्वर फोन से कनेक्शन प्राप्त करता है और उन्हें इच्छित गंतव्यों के लिए अग्रेषित करता है, यह उल्लेख किया गया है कि शोधकर्ताओं ने HTTP/HTTPS ट्रैफ़िक को इंटरसेप्ट और डिक्रिप्ट करने में सक्षम होने के लिए एक मध्यस्थ प्रॉक्सी लागू किया है।

क्लाउड मैसेजिंग में हुआवेई फोन द्वारा शुरू किए गए अनुरोधों को पूरी तरह से अलग करने के लिए जिसका उपयोग होस्टेड वर्चुअल मशीन (वीएम) की निगरानी के लिए किया जाता है, टनलिंग प्रॉक्सी सर्वर को चलाने के लिए एक सुरंग बनाई गई थी। उन्होंने VM पर पोर्ट 8.0.0 पर सुपरयूज़र अनुमतियों के साथ mitmproxy 8080 भी चलाया और किसी भी टनल किए गए TCP कनेक्शन को locahost:8080 पर पुनर्निर्देशित करने के लिए iptables को कॉन्फ़िगर किया।

इस तरह, mitmproxy सर्वर एंडपॉइंट्स से अनुरोधों की ओर से फोन के साथ संचार करता है और फोन के रूप में प्रस्तुत करके गंतव्य सर्वर एंडपॉइंट्स के लिए नए अनुरोध शुरू करता है, mitmproxy को प्रत्येक अनुरोध को इंटरसेप्ट करने की अनुमति देता है।

पहचानी गई समस्याओं में से, अतिरिक्त तृतीय-पक्ष एप्लिकेशन के वितरण में शामिल किया जाना, जिन्हें डिफ़ॉल्ट रूप से विस्तारित अनुमतियाँ प्रदान की जाती हैं, भी उल्लेखनीय हैं। कुल मिलाकर, Android AOSP कोडबेस की तुलना में, प्रत्येक माना जाने वाला फर्मवेयर निर्माता द्वारा पहले से इंस्टॉल किए गए 30 से अधिक तृतीय-पक्ष एप्लिकेशन के साथ आता है।

अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप परामर्श कर सकते हैं निम्नलिखित लिंक में विवरण।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   tifus कहा
    पूर्व 1 साल

    क्या नवीनता है, यह केवल चीनी मोबाइल फोन के साथ ही नहीं होता है, यह दुनिया के सभी मोबाइल फोन के साथ होता है और जो कोई अन्यथा मानता है वह अज्ञानी है।

    टाइफस का जवाब
  2.   user12 कहा
    पूर्व 1 साल

    यह सच है कि मोबाइल फोन एक डेटा लीक हैं और यह आश्चर्यजनक नहीं है, लेकिन विकल्प को देखते हुए, मैं इसे चीनी सरकार की तुलना में Google को देना पसंद करता हूं।

    उपयोगकर्ता 12 को उत्तर दें
  3.   एलेक्स बोरेल कहा
    पूर्व 1 साल

    उक्त अध्ययन के बारे में कोई खबर नहीं है, यह वर्तमान परिस्थितियों में बहुत ध्रुवीकृत प्रतीत होता है। हकीकत, कोई 100% सुरक्षित स्मार्टफोन नहीं है।

    एलेक्स बोरेल को जवाब दें