Zjistili, že ze smartphonů Realme, Xiaomi a OnePlus unikla osobní data

únik dat na chytrých telefonech

Soukromí operačního systému Android pod lupou

Nedávno se objevila zpráva, že skupina výsledky zveřejnili vědci z University of Edinburgh de analýza provedená v značky smartphonů Realme, Xiaomi a OnePlus dodávané na čínský a světový trh a na kterých zjistili, že tyto měli něco konkrétního, „úniky osobních údajů“.

Bylo objeveno, že všechna zařízení s firmwarem na prodej v Číně zasílají další informace na servery pro shromažďování telemetrie, jako je telefonní číslo uživatele, statistiky používání aplikací a také údaje o poloze, IMSI (číslo individuálního předplatitele), ICCID (sériové číslo SIM karty) a body obklopující bezdrátové přístupové body. Také bylo hlášeno, že zařízení Realme a OnePlus streamují historii hovorů a SMS.

Čína je v současnosti zemí s největším počtem uživatelů smartphonů Android. Ke studiu dat přenášených systémovými aplikacemi předinstalovanými na chytrých telefonech Android od tří nejoblíbenějších dodavatelů v Číně používáme kombinaci technik statické a dynamické analýzy kódu.

Zjistili jsme, že alarmující počet předinstalovaných dodavatelů systému a aplikací třetích stran má nebezpečná oprávnění.

Za zmínku stojí ve firmwaru pro globální trh taková aktivita až na výjimky pozorována neníNapříklad zařízení Realme odesílají MCC (kód země) a MNC (kód mobilní sítě) a zařízení Xiaomi Redmi odesílají data o připojené Wi-Fi, IMSI a statistikách využití.

Bez ohledu na typ firmwaru, všechna zařízení odesílají identifikátor IMEI, seznam nainstalovaných aplikací, verzi operačního systému a hardwarové parametry. Data jsou odesílána výrobcem nainstalovanými systémovými aplikacemi bez souhlasu uživatele, bez upozornění na doručení a bez ohledu na nastavení soukromí a telemetrii doručení.

Prostřednictvím analýzy provozu jsme zjistili, že mnoho z těchto paketů může přenášet do mnoha domén třetích stran citlivé informace o soukromí související se zařízením uživatele (trvalé identifikátory), geolokací (GPS
souřadnice, identifikátory související se sítí), uživatelský profil (telefonní číslo, používání aplikace) a sociální vztahy (např. historie hovorů), a to bez souhlasu nebo dokonce upozornění.

To představuje vážnou deanonymizaci a sledování a také rizika, která se přenesou mimo Čínu, když uživatel odejde.
země a vyzývá k důslednějšímu prosazování nedávno přijatých právních předpisů o ochraně osobních údajů.

na telefonu Redmi, data jsou odesílána na hostitelský tracking.miui.com při otevírání a používání předinstalovaných aplikací výrobce, jako jsou Nastavení, Poznámky, Záznamník, Telefon, Zprávy a Fotoaparát, bez ohledu na souhlas uživatele, k odesílání diagnostických dat během počátečního nastavení. na zařízeních Realme a OnePlus jsou data odesílána na hostitele log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com nebo aps.amap.com.

Tunelovací server přijímá spojení z telefonu a předává je zamýšleným cílům, je zmíněno, že výzkumníci implementovali zprostředkující proxy, aby byli schopni zachytit a dešifrovat HTTP/HTTPS provoz.

Aby bylo možné zcela izolovat požadavky iniciované telefonem Huawei v Cloud Messaging, který se používá k monitorování hostovaného virtuálního počítače (VM), byl vytvořen tunel s názvem spuštění tunelovacího proxy serveru. Spustili také mitmproxy 8.0.0 s oprávněními superuživatele na portu 8080 na virtuálním počítači a nakonfigurovali iptables pro přesměrování všech tunelovaných připojení TCP na locahost:8080.

Tímto způsobem mitmproxy komunikuje s telefonem jménem požadavků z koncových bodů serveru a iniciuje nové požadavky na koncové body cílového serveru tím, že se vydává za telefon, což umožňuje mitmproxy zachytit každý požadavek.

Z identifikovaných problémů vyniká také zahrnutí do doručování dalších aplikací třetích stran, kterým jsou standardně udělena rozšířená oprávnění. Celkově je v porovnání s kódovou základnou Android AOSP každý uvažovaný firmware dodáván s více než 30 aplikacemi třetích stran předinstalovanými výrobcem.

Nakonec, pokud máte zájem o tom vědět více, můžete se obrátit na podrobnosti v následujícím odkazu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

      tifus řekl

    Jaká novinka, která se neděje pouze u čínských mobilních telefonů, děje se tak u všech mobilních telefonů na světě a kdo věří opak, je ignorant.

      user12 řekl

    Je pravda, že mobilní telefony jsou únikem dat a že to není překvapivé, ale vzhledem k výběru je dávám raději Googlu než čínské vládě.

      alex borrell řekl

    O uvedené studii nejsou žádné zprávy, zdá se, že je za současných okolností velmi polarizovaná. Ve skutečnosti neexistuje žádný 100% bezpečný smartphone.