Zistili, že zo smartfónov Realme, Xiaomi a OnePlus unikli osobné údaje

Súkromie operačného systému Android pod lupou

Nedávno sa objavila správa, že skupina Výsledky zverejnili vedci z University of Edinburgh de analýza vykonaná v značky smartfónov Realme, Xiaomi a OnePlus dodávali na čínsky a svetový trh a na ktorých zistili, že tieto mali niečo konkrétne, „úniky osobných údajov“.

Zistilo sa to všetky zariadenia s firmvérom na predaj v Číne posielajú ďalšie informácie na servery na zhromažďovanie telemetrie, ako je telefónne číslo používateľa, štatistiky používania aplikácií, ako aj údaje o polohe, IMSI (číslo individuálneho predplatiteľa), ICCID (sériové číslo karty SIM) a body obklopujúce bezdrôtové prístupové body. Tiež bolo hlásené, že zariadenia Realme a OnePlus streamujú históriu hovorov a SMS.

Čína je v súčasnosti krajinou s najväčším počtom používateľov smartfónov so systémom Android. Na štúdium údajov prenášaných systémovými aplikáciami predinštalovanými na smartfónoch s Androidom od troch najpopulárnejších dodávateľov v Číne používame kombináciu techník statickej a dynamickej analýzy kódu.

Zistili sme, že alarmujúci počet predinštalovaných predajcov systému a aplikácií tretích strán má nebezpečné privilégiá.

Za zmienku stojí to vo firmvéri pre globálny trh sa takáto aktivita až na výnimky nepozorujeNapríklad zariadenia Realme odosielajú MCC (kód krajiny) a MNC (kód mobilnej siete) a zariadenia Xiaomi Redmi odosielajú údaje o pripojenej Wi-Fi, IMSI a štatistikách používania.

Bez ohľadu na typ firmvéru, všetky zariadenia posielajú identifikátor IMEI, zoznam nainštalovaných aplikácií, verziu operačného systému a hardvérové ​​parametre. Údaje sú odosielané výrobcami nainštalovanými systémovými aplikáciami bez súhlasu používateľa, bez oznámenia o doručení a bez ohľadu na nastavenia súkromia a telemetriu doručenia.

Prostredníctvom analýzy návštevnosti sme zistili, že mnohé z týchto paketov môžu prenášať do mnohých domén tretích strán citlivé informácie o súkromí súvisiace so zariadením používateľa (trvalé identifikátory), geolokáciou (GPS
súradnice, identifikátory súvisiace so sieťou, používateľský profil (telefónne číslo, používanie aplikácie) a sociálne vzťahy (napr. história hovorov) bez súhlasu alebo dokonca upozornenia.

To predstavuje vážnu deanonymizáciu a sledovanie, ako aj riziká, ktoré sa rozšíria mimo Číny, keď používateľ odíde.
krajiny a vyzýva na dôslednejšie presadzovanie nedávno prijatých právnych predpisov o ochrane osobných údajov.

na telefóne Redmi, údaje sa odosielajú na hostiteľa tracking.miui.com pri otváraní a používaní vopred nainštalovaných aplikácií výrobcu, ako sú Nastavenia, Poznámky, Záznamník, Telefón, Správy a Fotoaparát, bez ohľadu na súhlas používateľa, na odosielanie diagnostických údajov počas úvodného nastavenia. na zariadeniach Realme a OnePlus sa údaje odosielajú hostiteľom log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com alebo aps.amap.com.

Tunelovací server prijíma spojenia z telefónu a preposiela ich na zamýšľané ciele, uvádza sa, že výskumníci implementovali sprostredkovateľský proxy, ktorý dokáže zachytiť a dešifrovať HTTP/HTTPS prevádzku.

S cieľom úplne izolovať požiadavky iniciované telefónom Huawei v službe Cloud Messaging, ktorá sa používa na monitorovanie hosťovaného virtuálneho počítača (VM), bol vytvorený tunel s názvom spustenie tunelovacieho proxy servera. Spustili tiež mitmproxy 8.0.0 s oprávneniami superuser na porte 8080 na VM a nakonfigurovali iptables na presmerovanie všetkých tunelovaných pripojení TCP na locahost:8080.

Týmto spôsobom mitmproxy komunikuje s telefónom v mene požiadaviek z koncových bodov servera a iniciuje nové požiadavky na koncové body cieľového servera vydávaním sa za telefón, čo umožňuje mitmproxy zachytiť každú požiadavku.

Z identifikovaných problémov vyniká aj zahrnutie do doručovania ďalších aplikácií tretích strán, ktorým sú štandardne udelené rozšírené povolenia. Celkovo v porovnaní s kódovou základňou Android AOSP každý uvažovaný firmvér obsahuje viac ako 30 aplikácií tretích strán predinštalovaných výrobcom.

Nakoniec, ak máte záujem dozvedieť sa viac, obráťte sa na podrobnosti v nasledujúcom odkaze.