Viņi atklāja, ka Realme, Xiaomi un OnePlus viedtālruņi nopludināja personas datus

Android operētājsistēmas privātums zem palielināmā stikla

Nesen parādījās ziņas, ka grupa no pētnieki no Edinburgas universitātes publicēja rezultātu de gadā veikta analīze viedtālruņu zīmoli Realme, Xiaomi un OnePlus piegādāti Ķīnas un pasaules tirgiem un kuros viņi atklāja, ka šie viņiem bija kaut kas īpašs, “personas datu noplūde”.

Ir atklāts, ka visas Ķīnā pārdošanā esošās ierīces ar programmaparatūru nosūta papildu informāciju serveriem telemetrijas datu apkopošanai, piemēram, lietotāja tālruņa numuram, lietojumprogrammu lietošanas statistikai, kā arī atrašanās vietas datiem, IMSI (individuālais abonenta numurs), ICCID (SIM kartes sērijas numurs) un punktiem, kas ieskauj bezvadu piekļuves punktus. Ir ziņots, ka Realme un OnePlus ierīces straumē zvanu un SMS vēsturi.

Ķīna šobrīd ir valsts ar lielāko Android viedtālruņu lietotāju skaitu. Mēs izmantojam statiskās un dinamiskās koda analīzes metožu kombināciju, lai pētītu datus, ko pārraida sistēmas lietotnes, kas iepriekš instalētas Android viedtālruņos no trim populārākajiem piegādātājiem Ķīnā.

Mēs atklājām, ka satraucoši daudzām iepriekš instalētajām sistēmas piegādātāju un trešo pušu lietotnēm ir bīstamas privilēģijas.

Ir vērts to pieminēt pasaules tirgum paredzētajā programmaparatūrā šāda darbība ar dažiem izņēmumiem nav novērotaPiemēram, Realme ierīces sūta MCC (valsts kods) un MNC (mobilā tīkla kods), bet Xiaomi Redmi ierīces sūta datus par pievienoto Wi-Fi, IMSI un lietošanas statistiku.

Neatkarīgi no programmaparatūras veida, visas ierīces nosūta IMEI identifikatoru, instalēto lietojumprogrammu sarakstu, operētājsistēmas versiju un aparatūras parametrus. Datus nosūta ražotāja instalētās sistēmas lietojumprogrammas bez lietotāja piekrišanas, bez paziņojuma par piegādi un neatkarīgi no privātuma iestatījumiem un piegādes telemetrijas.

Izmantojot trafika analīzi, mēs atklājām, ka daudzas no šīm paketēm var pārsūtīt uz daudziem trešo pušu domēniem sensitīvu privātuma informāciju, kas saistīta ar lietotāja ierīci (pastāvīgi identifikatori), ģeogrāfisko atrašanās vietu (GPS).
koordinātes, ar tīklu saistīti identifikatori), lietotāja profils (tālruņa numurs, lietotnes lietojums) un sociālās attiecības (piemēram, zvanu vēsture), bez piekrišanas vai pat paziņojuma.

Tas rada nopietnu deanonimizāciju un izsekošanu, kā arī riskus, kas var izplatīties ārpus Ķīnas, kad lietotājs aizbrauc.
un aicina stingrāk īstenot nesen pieņemtos tiesību aktus par datu privātumu.

telefonā Redmi, dati tiek nosūtīti uz resursdatoru tracking.miui.com atverot un izmantojot ražotāja iepriekš instalētās lietotnes, piemēram, Iestatījumi, Piezīmes, Ierakstītājs, Tālrunis, Ziņojumi un Kamera, neatkarīgi no lietotāja piekrišanas, lai sākotnējās iestatīšanas laikā nosūtītu diagnostikas datus. ierīcēs Realme un OnePlus, dati tiek nosūtīti uz saimniekiem log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com vai aps.amap.com.

Tunelēšanas serveris saņem savienojumus no tālruņa un pārsūta tos uz paredzētajiem galamērķiem, tiek minēts, ka pētnieki ieviesuši starpniekserveri, lai varētu pārtvert un atšifrēt HTTP/HTTPS trafiku.

Lai pilnībā izolētu Huawei tālruņa ierosinātos pieprasījumus mākoņa ziņojumapmaiņā, kas tiek izmantota mitinātās virtuālās mašīnas (VM) pārraudzībai, tika izveidots tunelis ar nosaukumu tunelēšanas starpniekservera palaišana. Viņi arī palaida mitmproxy 8.0.0 ar superlietotāja atļaujām VM portā 8080 un konfigurēja iptables, lai novirzītu visus tunelētos TCP savienojumus uz locahost:8080.

Tādā veidā mitmproxy sazinās ar tālruni servera galapunktu pieprasījumu vārdā un ierosina jaunus pieprasījumus galamērķa servera galapunktiem, uzdodoties par tālruni, ļaujot mitmproxy pārtvert katru pieprasījumu.

No konstatētajām problēmām izceļas arī papildu trešo pušu lietojumprogrammu iekļaušana piegādē, kurām pēc noklusējuma tiek piešķirtas paplašinātas atļaujas. Kopumā, salīdzinot ar Android AOSP kodu bāzi, katrai aplūkotajai programmaparatūrai ir vairāk nekā 30 ražotāja iepriekš instalētas trešās puses lietojumprogrammas.

Visbeidzot, ja vēlaties uzzināt vairāk par to, varat konsultēties ar sīkāka informācija šajā saitē.