Personvernet til Android-operativsystemet under forstørrelsesglasset
Nylig brøt nyheten om at en gruppe av forskere fra University of Edinburgh publiserte resultatet de en analyse utført i smarttelefonmerker Realme, Xiaomi og OnePlus levert til det kinesiske og verdensmarkedet og hvor de oppdaget at disse de hadde noe spesielt, «lekkasjer av personopplysninger».
Det er blitt oppdaget at alle enheter med fastvare for salg i Kina sender tilleggsinformasjon til servere for telemetriinnsamling, slik som brukerens telefonnummer, applikasjonsbruksstatistikk, samt lokasjonsdata, IMSI (Individual Subscriber Number), ICCID (SIM Card Serial Number) og punkter rundt trådløse tilgangspunkter. Også Realme- og OnePlus-enheter har blitt rapportert å strømme samtale- og SMS-historikk.
Kina er for tiden det landet med flest brukere av Android-smarttelefoner. Vi bruker en kombinasjon av statiske og dynamiske kodeanalyseteknikker for å studere data som overføres av systemapper forhåndsinstallert på Android-smarttelefoner fra tre av de mest populære leverandørene i Kina.
Vi fant ut at et alarmerende antall forhåndsinstallerte systemleverandører og tredjepartsapper har farlige rettigheter.
Det er verdt å nevne det i firmware for det globale markedet, er slik aktivitet ikke observert med noen unntakFor eksempel sender Realme-enheter MCC (landskode) og MNC (mobilnettverkskode), og Xiaomi Redmi-enheter sender data om tilkoblet Wi-Fi, IMSI og bruksstatistikk.
Uavhengig av type fastvare, alle enheter sender en IMEI-identifikator, en liste over installerte applikasjoner, versjonen av operativsystemet og maskinvareparametere. Data sendes av produsentinstallerte systemapplikasjoner uten brukersamtykke, uten varsel om levering, og uavhengig av personverninnstillinger og leveringstelemetri.
Gjennom trafikkanalyse fant vi at mange av disse pakkene kan overføre sensitiv personverninformasjon til mange tredjepartsdomener relatert til brukerens enhet (vedvarende identifikatorer), geolokalisering (GPS)
koordinater, nettverksrelaterte identifikatorer), brukerprofil (telefonnummer, appbruk) og sosiale relasjoner (f.eks. anropshistorikk), uten samtykke eller til og med varsel.Dette utgjør alvorlig de-anonymisering og sporing, samt risikoer som smitter over utenfor Kina når brukeren drar.
av landet, og etterlyser strengere håndhevelse av nylig vedtatt personvernlovgivning.
En teléfono Redmi, dataene sendes til verten tracking.miui.com når du åpner og bruker produsentens forhåndsinstallerte apper som innstillinger, notater, opptaker, telefon, meldinger og kamera, uavhengig av brukersamtykke, for å sende diagnosedata under innledende oppsett. på enheter Realme og OnePlus, dataene sendes til vertene log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com eller aps.amap.com.
Tunnelserveren mottar tilkoblinger fra telefonen og videresender dem til de tiltenkte destinasjonene, det nevnes at forskerne implementerte en mellomproxy for å kunne avskjære og dekryptere HTTP/HTTPS-trafikk.
For å fullstendig isolere forespørsler initiert av en Huawei-telefon i Cloud Messaging som brukes til å overvåke den vertsbaserte virtuelle maskinen (VM), ble det opprettet en tunnel som heter å kjøre tunneling proxy-serveren. De kjørte også mitmproxy 8.0.0 med superbrukertillatelser på port 8080 på VM og konfigurerte iptables for å omdirigere eventuelle tunnelerte TCP-forbindelser til locahost:8080.
På denne måten kommuniserer mitmproxy med telefonen på vegne av forespørslene fra serverendepunktene og initierer nye forespørsler til destinasjonsserverendepunktene ved å utgi seg som telefonen, slik at mitmproxy kan avskjære hver forespørsel.
Av problemene som er identifisert, skiller også inkluderingen i leveringen av ytterligere tredjepartsapplikasjoner, som er gitt utvidede tillatelser som standard, seg ut. Totalt, sammenlignet med Android AOSP-kodebasen, kommer hver betraktet fastvare med mer enn 30 tredjepartsapplikasjoner forhåndsinstallert av produsenten.
Til slutt, hvis du er interessert i å vite mer om det, kan du konsultere detaljer i følgende lenke.
For en nyhet, det skjer ikke bare med kinesiske mobiltelefoner, det skjer med alle mobiltelefoner i verden og den som tror noe annet er uvitende.
Det er sant at mobiltelefoner er en datalekkasje og at dette ikke er overraskende, men gitt valget foretrekker jeg å gi det til Google enn til den kinesiske regjeringen.
Det er ingen nyheter om nevnte studie, den ser ut til å være veldig polarisert under de nåværende omstendighetene. Realiteten, det er ingen 100% sikker smarttelefon.