他們發現 Realme、小米和 OnePlus 智能手機洩露了個人數據

放大鏡下的安卓操作系統隱私

近日有消息爆出，一群 愛丁堡大學的研究人員發表了結果 de 進行的分析 智能手機品牌 Realme、小米和一加 提供給中國和世界市場，並在其中檢測到這些 他們有一些特別的東西，“個人數據洩露”。

已經發現 所有在中國銷售的帶固件的設備都發送附加信息 用於遙測收集的服務器，例如用戶的電話號碼、應用程序使用情況統計信息，以及位置數據、IMSI（個人用戶號碼）、ICCID（SIM 卡序列號）和無線接入點周圍的點。 此外，據報導，Realme 和 OnePlus 設備可以流式傳輸通話和短信歷史記錄。

中國是目前Android智能手機用戶數量最多的國家。 我們結合使用靜態和動態代碼分析技術來研究由中國三大最受歡迎的供應商預裝在 Android 智能手機上的系統應用程序傳輸的數據。

我們發現數量驚人的預裝系統供應商和第三方應用程序具有危險的權限。

值得一提的是 在全球市場的固件中，除某些例外情況外未觀察到此類活動例如，realme 設備發送 MCC（國家代碼）和 MNC（移動網絡代碼），小米 Redmi 設備發送有關連接的 Wi-Fi、IMSI 和使用統計信息的數據。

無論固件類型如何， 所有設備都會發送 IMEI 標識符、已安裝應用程序列表、操作系統版本和硬件參數. 數據由製造商安裝的系統應用程序發送，未經用戶同意，沒有交付通知，也不考慮隱私設置和交付遙測。

通過流量分析，我們發現這些數據包中有許多可以向許多第三方域傳輸與用戶設備（持久標識符）、地理定位（GPS）相關的敏感隱私信息
坐標、網絡相關標識符）、用戶個人資料（電話號碼、應用程序使用情況）和社交關係（例如通話記錄），未經同意甚至通知。

這帶來了嚴重的去匿名化和跟踪，以及當用戶離開時溢出到中國境外的風險。
國家，並呼籲更嚴格地執行最近通過的數據隱私立法。

電話通知 Redmi，數據發送到主機tracking.miui.com 打開和使用製造商預裝的應用程序（如設置、備忘錄、錄音機、電話、消息和相機）時，無論用戶是否同意，都會在初始設置期間發送診斷數據。 在設備上 Realme 和 OnePlus，數據發送到主機 log.avlyun.com、aps.oversea.amap.com、aps.testing.amap.com 或 aps.amap.com。

隧道服務器接收來自手機的連接並將它們轉發到預期目的地，據說研究人員實施了一個中間代理以能夠攔截和解密 HTTP/HTTPS 流量。

為了在用於監控託管虛擬機（VM）的雲消息中完全隔離由華為手機發起的請求，創建了一個稱為運行隧道代理服務器的隧道。 他們還在 VM 上的端口 8.0.0 上以超級用戶權限運行 mitmproxy 8080，並配置 iptables 以將任何隧道 TCP 連接重定向到 locahost:8080。

通過這種方式，mitmproxy 代表服務器端點的請求與手機通信，並冒充手機向目標服務器端點發起新的請求，讓 mitmproxy 攔截每個請求。

在確定的問題中，包含在默認情況下被授予擴展權限的其他第三方應用程序的交付中也很突出。 總的來說，與 Android AOSP 代碼庫相比，每個被考慮的固件都帶有製造商預裝的 30 多個第三方應用程序。

最後，如果您有興趣了解更多，可以諮詢 以下鏈接中提供了詳細信息。