彼らは、Realme、Xiaomi、およびOnePlusスマートフォンが個人データを漏らしたことを発見しました

Darkcrizt

4分

スマホの情報漏えい

虫眼鏡の下の Android オペレーティング システムのプライバシー

最近、あるグループがいるというニュースが流れました。 エジンバラ大学の研究者が結果を発表 de で行われた分析 スマートフォンのブランド Realme、Xiaomi、OnePlus 中国と世界の市場に供給され、そこで彼らはこれらのことを発見しました 特に「個人データの漏洩」がありました。

それが発見されました 中国で販売されているファームウェアを搭載したすべてのデバイスは、追加情報を送信します ユーザーの電話番号、アプリケーションの使用統計、位置データ、IMSI (個々の加入者番号)、ICCID (SIM カードのシリアル番号)、およびワイヤレス アクセス ポイント周辺のポイントなどのテレメトリ収集のためにサーバーに送信します。 また、Realme および OnePlus デバイスは、通話と SMS の履歴をストリーミングすることが報告されています。

中国は現在、Android スマートフォンのユーザー数が最も多い国です。 静的および動的コード分析手法を組み合わせて使用​​し、中国で最も人気のある XNUMX つのベンダーの Android スマートフォンにプリインストールされたシステム アプリによって送信されたデータを調査しました。

驚くべき数のプリインストールされたシステム ベンダーおよびサードパーティ アプリが危険な権限を持っていることがわかりました。

言及する価値があります グローバル市場向けのファームウェアでは、一部の例外を除いてそのような活動は見られませんたとえば、Realme デバイスは MCC (国コード) と MNC (モバイル ネットワーク コード) を送信し、Xiaomi Redmi デバイスは接続された Wi-Fi、IMSI、および使用統計に関するデータを送信します。

ファームウェアの種類に関係なく、 すべてのデバイスは、IMEI 識別子、インストールされているアプリケーションのリスト、オペレーティング システムのバージョン、およびハードウェア パラメータを送信します。. データは、ユーザーの同意なしに、配信の通知なしに、またプライバシー設定や配信テレメトリに関係なく、メーカーがインストールしたシステム アプリケーションによって送信されます。

トラフィック分析を通じて、これらのパケットの多くが、ユーザーのデバイス (永続的な識別子)、地理位置情報 (GPS
座標、ネットワーク関連の識別子)、ユーザー プロファイル (電話番号、アプリの使用状況)、および社会的関係 (通話履歴など) を、同意または通知なしで。

これにより、深刻な匿名化と追跡が行われるだけでなく、ユーザーが中国を離れたときに中国国外に波及するリスクも生じます。
また、最近採択されたデータ プライバシー法をより厳格に施行するよう求めています。

電話で Redmi、データはホスト tracking.miui.com に送信されます 設定、メモ、レコーダー、電話、メッセージ、カメラなどの製造元のプレインストール アプリを開いて使用する場合、ユーザーの同意に関係なく、初期セットアップ中に診断データを送信します。 デバイス上 Realme と OnePlus の場合、データはホスト log.avlyun.com、aps.oversea.amap.com、aps.testing.amap.com、または aps.amap.com に送信されます。

トンネリング サーバーは、電話から接続を受信し、目的の宛先に転送します。研究者は、HTTP/HTTPS トラフィックを傍受して復号化できるように中間プロキシを実装したと述べています。

ホストされた仮想マシン (VM) を監視するために使用されるクラウド メッセージングで Huawei 電話によって開始された要求を完全に分離するために、トンネル プロキシ サーバーを実行するというトンネルが作成されました。 また、VM のポート 8.0.0 でスーパーユーザー権限を使用して mitmproxy 8080 を実行し、トンネル化された TCP 接続をすべて locahost:8080 にリダイレクトするように iptables を構成しました。

このようにして、mitmproxy はサーバー エンドポイントからの要求に代わって電話と通信し、電話のふりをして宛先サーバー エンドポイントへの新しい要求を開始し、mitmproxy が各要求をインターセプトできるようにします。

特定された問題の中で、デフォルトで拡張アクセス許可が付与されている追加のサードパーティ アプリケーションの配信に含まれていることも際立っています。 合計すると、Android AOSP コードベースと比較して、考慮された各ファームウェアには、メーカーによって 30 以上のサードパーティ アプリケーションがプリインストールされています。

最後に、それについてもっと知りたい場合は、 詳細は次のリンクをご覧ください。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   チフス
    HACE 1年

    これは中国の携帯電話だけで起こることではなく、世界中のすべての携帯電話で起こることです。

    チフスに対応する
  2.   user12
    HACE 1年

    携帯電話がデータ漏洩であることは事実であり、これは驚くべきことではありませんが、選択肢を考えると、中国政府よりも Google に渡すことを好みます。

    user12に返信する
  3.   アレックスボレル
    HACE 1年

    この研究に関するニュースはありませんが、現在の状況では非常に二極化しているようです. 現実には、100% 安全なスマートフォンはありません。

    アレックスボレルに返信