Android operacinės sistemos privatumas po padidinamuoju stiklu
Neseniai pasklido žinia, kad grupė mokslininkai iš Edinburgo universiteto paskelbė rezultatą de atlikta analizė išmaniųjų telefonų prekės ženklai Realme, Xiaomi ir OnePlus tiekiami į Kinijos ir pasaulio rinkas ir kuriose jie nustatė, kad šie jie turėjo kažką konkretaus, „asmens duomenų nutekėjimo“.
Buvo atrasta, kad visi Kinijoje parduodami įrenginiai su programine įranga siunčia papildomą informaciją į serverius, skirtus telemetrijai rinkti, pavyzdžiui, vartotojo telefono numerį, programų naudojimo statistiką, taip pat vietos duomenis, IMSI (individualų abonento numerį), ICCID (SIM kortelės serijos numerį) ir taškus aplink belaidžio ryšio prieigos taškus. Taip pat pranešta, kad „Realme“ ir „OnePlus“ įrenginiai transliuoja skambučių ir SMS istoriją.
Kinija šiuo metu yra šalis, turinti daugiausiai Android išmaniųjų telefonų vartotojų. Naudojame statinio ir dinaminio kodo analizės metodų derinį, kad ištirtume duomenis, kuriuos perduoda sistemos programos, iš anksto įdiegtos Android išmaniuosiuose telefonuose iš trijų populiariausių Kinijos pardavėjų.
Mes nustatėme, kad nerimą keliantis skaičius iš anksto įdiegtų sistemos tiekėjų ir trečiųjų šalių programų turi pavojingų privilegijų.
Verta tai paminėti pasaulinei rinkai skirtoje programinėje įrangoje tokia veikla nėra stebima, išskyrus kai kurias išimtisPavyzdžiui, „Realme“ įrenginiai siunčia MCC (šalies kodą) ir MNC (mobiliojo tinklo kodą), o „Xiaomi Redmi“ įrenginiai siunčia duomenis apie prijungtą „Wi-Fi“, IMSI ir naudojimo statistiką.
Nepriklausomai nuo programinės įrangos tipo, visi įrenginiai siunčia IMEI identifikatorių, įdiegtų programų sąrašą, operacinės sistemos versiją ir aparatūros parametrus. Duomenys siunčiami gamintojo įdiegtomis sistemos programomis be vartotojo sutikimo, nepranešus apie pristatymą ir neatsižvelgiant į privatumo nustatymus ir pristatymo telemetriją.
Atlikdami srauto analizę nustatėme, kad daugelis šių paketų gali perduoti daugeliui trečiųjų šalių domenų slaptą privatumo informaciją, susijusią su vartotojo įrenginiu (nuolatiniais identifikatoriais), geografine vieta (GPS).
koordinates, su tinklu susijusius identifikatorius), vartotojo profilį (telefono numerį, programėlės naudojimą) ir socialinius santykius (pvz., skambučių istoriją), be sutikimo ar net įspėjimo.Tai kelia rimtą anonimiškumo panaikinimą ir stebėjimą, taip pat pavojų, kuris gali išplisti už Kinijos ribų, kai vartotojas išvyksta.
ir ragina griežčiau vykdyti neseniai priimtus duomenų privatumo teisės aktus.
telefone Redmi, duomenys siunčiami į pagrindinį kompiuterį tracking.miui.com atidarant ir naudojant gamintojo iš anksto įdiegtas programėles, tokias kaip Nustatymai, Užrašai, Diktofonas, Telefonas, Žinutės ir Fotoaparatas, neatsižvelgiant į vartotojo sutikimą, siųsti diagnostikos duomenis pradinės sąrankos metu. įrenginiuose Realme ir OnePlus, duomenys siunčiami į pagrindinius kompiuterius log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com arba aps.amap.com.
Tuneliavimo serveris priima ryšius iš telefono ir persiunčia juos į numatytus tikslus, minima, kad mokslininkai įdiegė tarpinį tarpinį serverį, kad būtų galima perimti ir iššifruoti HTTP/HTTPS srautą.
Siekiant visiškai atskirti Huawei telefono inicijuotas užklausas debesies pranešimų siuntime, kuris naudojamas priglobtai virtualiai mašinai (VM) stebėti, buvo sukurtas tunelis, vadinamas tunelio tarpinio serverio paleidimu. Jie taip pat paleido mitmproxy 8.0.0 su supervartotojo leidimais VM 8080 prievade ir sukonfigūravo iptables, kad peradresuotų bet kokius tunelinius TCP ryšius į locahost:8080.
Tokiu būdu „mitmproxy“ bendrauja su telefonu serverio galinių taškų užklausų vardu ir inicijuoja naujas užklausas paskirties serverio galutiniams taškams, apsimesdamas telefonu, leisdamas „mitmproxy“ perimti kiekvieną užklausą.
Iš nustatytų problemų taip pat išsiskiria papildomų trečiųjų šalių programų, kurioms pagal nutylėjimą suteikiami išplėstiniai leidimai, įtraukimas į pristatymą. Iš viso, palyginti su Android AOSP kodų baze, kiekviena svarstoma programinė įranga yra su daugiau nei 30 gamintojo iš anksto įdiegtų trečiųjų šalių programų.
Galiausiai, jei norite sužinoti daugiau apie tai, galite kreiptis į išsami informacija šioje nuorodoje.
Kokia naujovė, tai vyksta ne tik su kiniškais mobiliaisiais telefonais, taip būna su visais pasaulio mobiliaisiais telefonais, o kas tiki kitaip, tas nežino.
Tiesa, kad mobilieji telefonai yra duomenų nutekėjimas ir tai nenuostabu, tačiau, atsižvelgdamas į pasirinkimą, man labiau patinka jį atiduoti „Google“, o ne Kinijos vyriausybei.
Apie minėtą tyrimą žinių nėra, dabartinėmis aplinkybėmis jis atrodo labai poliarizuotas. Realybė, nėra 100% saugaus išmaniojo telefono.