Büyüteç altında Android işletim sisteminin gizliliği
Geçenlerde bir haber geldi ki, bir grup Edinburgh Üniversitesi'nden araştırmacılar sonucu yayınladı de gerçekleştirilen bir analiz akıllı telefonlar markaları Realme, Xiaomi ve OnePlus Çin ve dünya pazarlarına tedarik edilen ve bunların tespit edildiği özellikle bir şeyleri vardı, "kişisel veri sızıntıları".
Keşfedildi ki Çin'de satılan üretici yazılımına sahip tüm cihazlar ek bilgi gönderir kullanıcının telefon numarası, uygulama kullanım istatistikleri gibi konum verileri, IMSI (Bireysel Abone Numarası), ICCID (SIM Kart Seri Numarası) ve kablosuz erişim noktalarını çevreleyen noktalar gibi telemetri toplama için sunuculara. Ayrıca, Realme ve OnePlus cihazlarının arama ve SMS geçmişini aktardığı bildirildi.
Çin şu anda en fazla Android akıllı telefon kullanıcısına sahip ülke. Çin'deki en popüler üç satıcıdan Android akıllı telefonlara önceden yüklenmiş sistem uygulamaları tarafından iletilen verileri incelemek için statik ve dinamik kod analizi tekniklerinin bir kombinasyonunu kullanıyoruz.
Endişe verici sayıda önceden yüklenmiş sistem satıcısının ve üçüncü kişi uygulamalarının tehlikeli ayrıcalıklara sahip olduğunu gördük.
Bahsetmeye değer küresel pazar için ürün yazılımında, bazı istisnalar dışında bu tür faaliyetler gözlenmezÖrneğin, Realme cihazları MCC (ülke kodu) ve MNC (mobil ağ kodu) gönderirken, Xiaomi Redmi cihazları bağlı Wi-Fi, IMSI ve kullanım istatistikleri hakkında veri gönderir.
Bellenim türünden bağımsız olarak, tüm cihazlar bir IMEI tanımlayıcısı, yüklü uygulamaların bir listesi, işletim sistemi sürümü ve donanım parametreleri gönderir. Veriler, üretici tarafından yüklenen sistem uygulamaları tarafından kullanıcının onayı olmadan, teslimat bildirimi yapılmadan ve gizlilik ayarları ve teslimat telemetrisine bakılmaksızın gönderilir.
Trafik analizi yoluyla, bu paketlerin çoğunun, kullanıcının cihazı (kalıcı tanımlayıcılar), coğrafi konum (GPS) ile ilgili hassas gizlilik bilgilerini birçok üçüncü taraf etki alanına iletebildiğini bulduk.
koordinatlar, ağla ilgili tanımlayıcılar), kullanıcı profili (telefon numarası, uygulama kullanımı) ve sosyal ilişkiler (örn. arama geçmişi), izin ve hatta bildirim olmaksızın.Bu, ciddi anonimleştirme ve izlemenin yanı sıra kullanıcı ayrıldığında Çin dışına taşan riskler doğurur.
ve yakın zamanda kabul edilen veri gizliliği mevzuatının daha sıkı bir şekilde uygulanması çağrısında bulunuyor.
bir telefonda Redmi, veriler host tracking.miui.com'a gönderilir üreticinin Ayarlar, Notlar, Kaydedici, Telefon, Mesajlar ve Kamera gibi önceden yüklenmiş uygulamalarını açarken ve kullanırken, kullanıcının izninden bağımsız olarak, ilk kurulum sırasında teşhis verilerini göndermek için. cihazlarda Realme ve OnePlus, veriler log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com veya aps.amap.com sunucularına gönderilir.
Tünel sunucusu, telefondan bağlantıları alır ve bunları istenen hedeflere iletir. Araştırmacıların, HTTP/HTTPS trafiğini kesebilmek ve şifresini çözebilmek için bir aracı proxy uyguladıkları belirtiliyor.
Barındırılan sanal makineyi (VM) izlemek için kullanılan Bulut Mesajlaşmada bir Huawei telefonu tarafından başlatılan istekleri tamamen izole etmek için tünelleme proxy sunucusunu çalıştıran bir tünel oluşturuldu. Ayrıca VM'deki 8.0.0 numaralı bağlantı noktasında süper kullanıcı izinleriyle mitmproxy 8080'ı çalıştırdılar ve tünellenmiş TCP bağlantılarını locahost:8080'e yeniden yönlendirmek için iptables'ı yapılandırdılar.
Bu şekilde mitmproxy, sunucu uç noktalarından gelen istekler adına telefonla iletişim kurar ve telefon gibi görünerek hedef sunucu uç noktalarına yeni istekler başlatır ve mitmproxy'nin her isteği kesmesine izin verir.
Tanımlanan sorunlardan, varsayılan olarak genişletilmiş izinler verilen ek üçüncü taraf uygulamalarının teslimata dahil edilmesi de öne çıkıyor. Toplamda, Android AOSP kod tabanıyla karşılaştırıldığında, dikkate alınan her aygıt yazılımı, üretici tarafından önceden yüklenmiş 30'dan fazla üçüncü taraf uygulamayla birlikte gelir.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, şuraya danışabilirsiniz: ayrıntılar aşağıdaki bağlantıda.
Ne büyük yenilik, sadece Çin cep telefonlarında olmuyor, dünyadaki bütün cep telefonlarında oluyor ve aksini düşünen cahildir.
Cep telefonlarının bir veri sızıntısı olduğu ve bunun şaşırtıcı olmadığı doğru, ancak seçim hakkı verildiğinde, bunu Çin hükümetine vermektense Google'a vermeyi tercih ediyorum.
Söz konusu çalışma hakkında bir haber yok, mevcut koşullarda oldukça kutuplaşmış görünüyor. Gerçekte, %100 güvenli akıllı telefon yoktur.