Privasi sistem pengendalian Android di bawah kaca pembesar
Baru-baru ini tersebar berita bahawa sekumpulan penyelidik dari Universiti Edinburgh menerbitkan hasilnya de analisis yang dijalankan dalam jenama telefon pintar Realme, Xiaomi dan OnePlus dibekalkan ke pasaran China dan dunia dan di mana mereka mengesan bahawa ini mereka mempunyai sesuatu khususnya, "kebocoran data peribadi".
Telah dijumpai bahawa semua peranti dengan perisian tegar untuk dijual di China menghantar maklumat tambahan kepada pelayan untuk pengumpulan telemetri, seperti nombor telefon pengguna, statistik penggunaan aplikasi, serta data lokasi, IMSI (Nombor Pelanggan Individu), ICCID (Nombor Siri Kad SIM) dan titik di sekeliling titik akses wayarles. Selain itu, peranti Realme dan OnePlus telah dilaporkan menstrim sejarah panggilan dan SMS.
China kini merupakan negara yang mempunyai bilangan pengguna telefon pintar Android terbesar. Kami menggunakan gabungan teknik analisis kod statik dan dinamik untuk mengkaji data yang dihantar oleh apl sistem yang diprapasang pada telefon pintar Android daripada tiga vendor paling popular di China.
Kami mendapati bahawa bilangan vendor sistem prapasang dan apl pihak ketiga yang membimbangkan mempunyai keistimewaan yang berbahaya.
Perlu disebutkan bahawa dalam perisian tegar untuk pasaran global, aktiviti sedemikian tidak dipatuhi dengan beberapa pengecualianContohnya, peranti Realme menghantar MCC (kod negara) dan MNC (kod rangkaian mudah alih), dan peranti Xiaomi Redmi menghantar data tentang Wi-Fi yang disambungkan, IMSI dan statistik penggunaan.
Tidak kira jenis perisian tegar, semua peranti menghantar pengecam IMEI, senarai aplikasi yang dipasang, versi sistem pengendalian dan parameter perkakasan. Data dihantar oleh aplikasi sistem yang dipasang pengilang tanpa kebenaran pengguna, tanpa pemberitahuan penghantaran, dan tanpa mengira tetapan privasi dan telemetri penghantaran.
Melalui analisis trafik, kami mendapati bahawa kebanyakan paket ini boleh menghantar kepada banyak domain pihak ketiga maklumat privasi sensitif yang berkaitan dengan peranti pengguna (pengecam berterusan), geolokasi (GPS).
koordinat, pengecam berkaitan rangkaian), profil pengguna (nombor telefon, penggunaan apl) dan perhubungan sosial (cth. sejarah panggilan), tanpa persetujuan atau pemberitahuan.Ini menimbulkan penyahnamaan dan penjejakan yang serius, serta risiko yang merebak di luar China apabila pengguna pergi.
negara, dan menyeru penguatkuasaan yang lebih ketat terhadap undang-undang privasi data yang diterima pakai baru-baru ini.
pada telefon Redmi, data dihantar ke hos tracking.miui.com apabila membuka dan menggunakan apl prapasang pengeluar seperti Tetapan, Nota, Perakam, Telefon, Mesej dan Kamera, tanpa mengira persetujuan pengguna, untuk menghantar data diagnostik semasa persediaan awal. pada peranti Realme dan OnePlus, data dihantar ke hos log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com atau aps.amap.com.
Pelayan terowong menerima sambungan dari telefon dan memajukannya ke destinasi yang dimaksudkan, disebutkan bahawa penyelidik melaksanakan proksi perantara untuk dapat memintas dan menyahsulit trafik HTTP/HTTPS.
Untuk mengasingkan sepenuhnya permintaan yang dimulakan oleh telefon Huawei dalam Pemesejan Awan yang digunakan untuk memantau mesin maya (VM) yang dihoskan, terowong yang dipanggil menjalankan pelayan proksi terowong telah dibuat. Mereka juga menjalankan mitmproxy 8.0.0 dengan kebenaran superuser pada port 8080 pada VM dan mengkonfigurasi iptables untuk mengubah hala mana-mana sambungan TCP terowong ke locahost:8080.
Dengan cara ini, mitmproxy berkomunikasi dengan telefon bagi pihak permintaan daripada titik akhir pelayan dan memulakan permintaan baharu kepada titik akhir pelayan destinasi dengan menyamar sebagai telefon, membenarkan mitmproxy memintas setiap permintaan.
Daripada masalah yang dikenal pasti, kemasukan dalam penghantaran aplikasi pihak ketiga tambahan, yang diberikan kebenaran lanjutan secara lalai, juga menonjol. Secara keseluruhan, berbanding dengan pangkalan kod Android AOSP, setiap perisian tegar yang dipertimbangkan datang dengan lebih daripada 30 aplikasi pihak ketiga yang diprapasang oleh pengilang.
Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh berjumpa dengan perincian dalam pautan berikut.
Apa yang baru, itu tidak berlaku hanya dengan telefon bimbit Cina, ia berlaku dengan semua telefon bimbit di dunia dan sesiapa yang percaya sebaliknya adalah jahil.
Memang benar bahawa telefon bimbit adalah kebocoran data dan ini tidak menghairankan, tetapi jika diberi pilihan, saya lebih suka memberikannya kepada Google daripada kepada kerajaan China.
Tiada berita mengenai kajian tersebut, nampaknya sangat terpolarisasi dalam keadaan semasa. Realitinya, tiada telefon pintar 100% selamat.