Mereka menemukan bahwa smartphone Realme, Xiaomi dan OnePlus membocorkan data pribadi

Privasi sistem operasi Android di bawah kaca pembesar

Baru-baru ini tersiar kabar bahwa sekelompok peneliti dari University of Edinburgh menerbitkan hasilnya de analisis yang dilakukan di merek smartphone Realme, Xiaomi dan OnePlus dipasok ke pasar Cina dan dunia dan di mana mereka mendeteksi ini mereka memiliki sesuatu yang khusus, "kebocoran data pribadi".

Telah ditemukan itu semua perangkat dengan firmware untuk dijual di China mengirimkan informasi tambahan ke server untuk pengumpulan telemetri, seperti nomor telepon pengguna, statistik penggunaan aplikasi, serta data lokasi, IMSI (Nomor Pelanggan Individu), ICCID (Nomor Seri Kartu SIM) dan titik-titik di sekitar titik akses nirkabel. Juga, perangkat Realme dan OnePlus telah dilaporkan melakukan streaming riwayat panggilan dan SMS.

China saat ini menjadi negara dengan jumlah pengguna smartphone Android terbesar. Kami menggunakan kombinasi teknik analisis kode statis dan dinamis untuk mempelajari data yang dikirimkan oleh aplikasi sistem yang telah diinstal sebelumnya pada smartphone Android dari tiga vendor paling populer di China.

Kami menemukan bahwa jumlah yang mengkhawatirkan dari vendor sistem pra-instal dan aplikasi pihak ketiga memiliki hak istimewa yang berbahaya.

Perlu disebutkan itu di firmware untuk pasar global, aktivitas seperti itu tidak diamati dengan beberapa pengecualianMisalnya, perangkat Realme mengirim MCC (kode negara) dan MNC (kode jaringan seluler), dan perangkat Xiaomi Redmi mengirim data tentang Wi-Fi, IMSI, dan statistik penggunaan yang terhubung.

Terlepas dari jenis firmware, semua perangkat mengirimkan pengidentifikasi IMEI, daftar aplikasi yang diinstal, versi sistem operasi, dan parameter perangkat keras. Data dikirim oleh aplikasi sistem yang diinstal pabrikan tanpa persetujuan pengguna, tanpa pemberitahuan pengiriman, dan terlepas dari pengaturan privasi dan telemetri pengiriman.

Melalui analisis lalu lintas, kami menemukan bahwa banyak dari paket ini dapat mengirimkan ke banyak domain pihak ketiga informasi privasi sensitif yang terkait dengan perangkat pengguna (pengidentifikasi persisten), geolokasi (GPS
koordinat, pengidentifikasi terkait jaringan), profil pengguna (nomor telepon, penggunaan aplikasi) dan hubungan sosial (mis. riwayat panggilan), tanpa persetujuan atau bahkan pemberitahuan.

Ini menimbulkan de-anonimisasi dan pelacakan yang serius, serta risiko yang meluas ke luar China saat pengguna pergi.
negara, dan menyerukan penegakan yang lebih ketat dari undang-undang privasi data yang baru diadopsi.

Di telepon Redmi, data dikirim ke host tracking.miui.com saat membuka dan menggunakan aplikasi bawaan pabrikan seperti Pengaturan, Catatan, Perekam, Telepon, Pesan, dan Kamera, terlepas dari persetujuan pengguna, untuk mengirim data diagnostik selama penyiapan awal. pada perangkat Realme dan OnePlus, data dikirim ke host log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com atau aps.amap.com.

Server tunneling menerima koneksi dari telepon dan meneruskannya ke tujuan yang dituju, disebutkan bahwa peneliti menerapkan proxy perantara untuk dapat mencegat dan mendekripsi lalu lintas HTTP/HTTPS.

Untuk sepenuhnya mengisolasi permintaan yang diprakarsai oleh telepon Huawei di Cloud Messaging yang digunakan untuk memantau mesin virtual (VM) yang dihosting, sebuah terowongan yang disebut menjalankan server proxy tunneling telah dibuat. Mereka juga menjalankan mitmproxy 8.0.0 dengan izin pengguna super pada port 8080 pada VM dan mengonfigurasi iptables untuk mengalihkan semua koneksi TCP terowongan ke locahost:8080.

Dengan cara ini, mitmproxy berkomunikasi dengan telepon atas nama permintaan dari titik akhir server dan memulai permintaan baru ke titik akhir server tujuan dengan menyamar sebagai telepon, memungkinkan mitmproxy mencegat setiap permintaan.

Dari masalah yang teridentifikasi, penyertaan dalam pengiriman aplikasi pihak ketiga tambahan, yang diberikan izin diperpanjang secara default, juga menonjol. Secara total, dibandingkan dengan basis kode Android AOSP, masing-masing firmware yang dipertimbangkan hadir dengan lebih dari 30 aplikasi pihak ketiga yang diinstal sebelumnya oleh pabrikan.

Terakhir, jika Anda tertarik untuk mengetahuinya lebih lanjut, Anda dapat berkonsultasi dengan detailnya di tautan berikut.