Przywieziony z Chin telefon z Androidem zbiera niepokojąco dużo informacji o użytkownikach i przesyła je do domu bez informowania o tym fakcie. Badacze wzięli pod lupę urządzenia firm Xiaomi, OnePlus oraz Oppo/Realme, ale można założyć, iż sprawa dotyczy każdego innego telefona z Androidem, który został kupiony w Chinach.
Badania, prowadzone przez Haoyu Liu (University of Edinburgh), Douglasa Leitha (Trinity College Dublin), i Paula Patrasa (University of Edinburgh), sugerują, iż wyciek prywatnych informacji stanowi poważne ryzyko śledzenia właścicieli telefonów komórkowych w Chinach, choćby jeżeli podróżują za granicę do krajów, gdzie prywatność jest silniej strzeżona. Na dodatek nie musi to dotyczyć obywateli Państwa Środka, bo wystarczy tylko kupić tam telefona.
W pracy zatytułowanej „Android OS Privacy Under the Loupe – A Tale from the East”, trio uniwersyteckich specjalistów przeanalizowało aplikacje w systemie Android zainstalowane na telefonach komórkowych trzech popularnych producentów telefonów w Chinach: OnePlus, Xiaomi i Oppo/Realme.
Badacze przyjrzeli się wyłącznie informacjom przekazywanym przez system operacyjny i aplikacje systemowe, aby wykluczyć oprogramowanie instalowane przez użytkownika. Zakładają też, iż zrezygnowali oni z analityki i personalizacji, nie korzystają z przechowywania danych w chmurze ani opcjonalnych usług firm trzecich, a także nie utworzyli konta na żadnej platformie prowadzonej przez dewelopera dystrybucji Androida.
Preinstalowany zestaw aplikacji składa się z pakietów Android AOSP, kodu producenta oraz systemu firm trzecich. Każdy telefon z Androidem z chińskim firmware zawiera ponad 30 pakietów firm, które nie mają nic wspólnego z producentem sprzętu lub systemu.
Należą do nich chińskie aplikacje, takie jak Baidu Input, IflyTek Input i Sogou Input na Xiaomi Redmi Note 11. Na OnePlus 9R i Realme Q3 Pro jest to Baidu Map i pakiet AMap, który działa stale w tle. Do tego dochodzą różne aplikacje do przesyłania wiadomości, strumieniowania wideo i zakupów online, które zostały dołączone do chińskiego firmware’u.
Badacze odkryli, iż telefony z systemem Android od trzech wymienionych dostawców „wysyłają niepokojącą ilość informacji umożliwiających identyfikację osoby nie tylko do dostawcy urządzenia, ale także do dostawców usług, takich jak Baidu i do chińskich operatorów sieci komórkowych.”
Smartfon może nie mieć choćby karty SIM
Testowane telefony robiły to choćby wtedy, gdy chińscy operatorzy sieci komórkowej nie świadczyli usług – telefon nie miał karty SIM lub była ona powiązana z innym operatorem. Wystarczyło połączenie z internetem przez Wi-Fi.
Dane, które są przesyłane, obejmują trwałe identyfikatory urządzenia (IMEI, adres MAC, itp.), identyfikatory lokalizacji (współrzędne GPS, identyfikator komórki sieci komórkowej, itp.), profile użytkowników (numer telefonu, wzorce korzystania z aplikacji, telemetria aplikacji) i połączenia społeczne (historia/czas połączeń/SMS, numery telefonów kontaktowych, itp.) – stwierdzają badacze.
Po połączeniu, te informacje stwarzają poważne ryzyko deanonimizacji użytkownika i śledzenia go w praktycznie każdym miejscu, zwłaszcza iż w Chinach każdy numer telefonu jest zarejestrowany pod unikalnym identyfikatorem obywatela.
Jako przykład badacze podają telefon Redmi Note 11, który wysyła żądania na adres URL „tracking.miui.com/track/v4” za każdym razem, gdy preinstalowane aplikacje Settings, Note, Recorder, Phone, Message i Camera są otwierane i używane. Informacje są wysyłane choćby jeżeli użytkownicy zrezygnują z wysyłania danych diagnostycznych.
Jak mówią autorzy badania, zbieranie danych z urządzeń nie ustaje, choćby gdy urządzenia opuszczają Chiny. Oznacza to, iż posiadacze takich telefonów mogą być śledzeni choćby za granicą.
Jak wynika z ustaleń naukowców, w chińskich dystrybucjach Androida preinstalowanych jest trzy do czterech razy więcej aplikacji firm trzecich niż na tych samych smartfonach w Europie czy USA. Jakby tego było mało, aplikacje te otrzymują 8 do 10 razy więcej uprawnień.
Ogólnie rzecz biorąc, nasze ustalenia malują niepokojący obraz stanu prywatności danych użytkowników na największym na świecie rynku telefonów z Androidem i podkreślają pilną potrzebę ściślejszej kontroli prywatności w celu zwiększenia zaufania zwykłych ludzi do firm technologicznych, z których wiele jest częściowo lub w całości własnością państwa – podsumowują autorzy badania.
Źródło: Trinity College Dublin