Kupiłeś w Chinach smartfon Xiaomi, OnePlus lub Oppo? Twoje dane już tam wróciły
Przywieziony z Chin smartfon z Androidem zbiera niepokojąco dużo informacji o użytkownikach i przesyła je do domu bez informowania o tym fakcie. Badacze wzięli pod lupę urządzenia firm Xiaomi, OnePlus oraz Oppo/Realme, ale można założyć, że sprawa dotyczy każdego innego smartfona z Androidem, który został kupiony w Chinach.
Badania prowadzone przez Haoyu Liu (University of Edinburgh), Douglasa Leitha (Trinity College Dublin) i Paula Patrasa (University of Edinburgh), sugerują, że wyciek prywatnych informacji stanowi poważne ryzyko śledzenia właścicieli telefonów komórkowych w Chinach, nawet jeśli podróżują za granicę do krajów, gdzie prywatność jest silniej strzeżona. Na dodatek nie musi to dotyczyć obywateli Państwa Środka, bo wystarczy tylko kupić tam smartfona.
W pracy zatytułowanej „Android OS Privacy Under the Loupe – A Tale from the East”, trio uniwersyteckich specjalistów przeanalizowało aplikacje w systemie Android zainstalowane na telefonach komórkowych trzech popularnych producentów smartfonów w Chinach: OnePlus, Xiaomi i Oppo/Realme.
Badacze przyjrzeli się wyłącznie informacjom przekazywanym przez system operacyjny i aplikacje systemowe, aby wykluczyć oprogramowanie instalowane przez użytkownika. Zakładają też, że zrezygnowali oni z analityki i personalizacji, nie korzystają z przechowywania danych w chmurze ani opcjonalnych usług firm trzecich, a także nie utworzyli konta na żadnej platformie prowadzonej przez dewelopera dystrybucji Androida.
Preinstalowany zestaw aplikacji składa się z pakietów Android AOSP, kodu producenta oraz oprogramowania firm trzecich. Każdy smartfon z Androidem z chińskim firmware zawiera ponad 30 pakietów firm, które nie mają nic wspólnego z producentem sprzętu lub systemu.
Należą do nich chińskie aplikacje, takie jak Baidu Input, IflyTek Input i Sogou Input na Xiaomi Redmi Note 11. Na OnePlus 9R i Realme Q3 Pro jest to Baidu Map i pakiet AMap, który działa stale w tle. Do tego dochodzą różne aplikacje do przesyłania wiadomości, strumieniowania wideo i zakupów online, które zostały dołączone do chińskiego firmware’u.
Badacze odkryli, że telefony z systemem Android od trzech wymienionych dostawców „wysyłają niepokojącą ilość informacji umożliwiających identyfikację osoby nie tylko do dostawcy urządzenia, ale także do dostawców usług, takich jak Baidu i do chińskich operatorów sieci komórkowych.”
Smartfon może nie mieć nawet karty SIM
Testowane telefony robiły to nawet wtedy, gdy chińscy operatorzy sieci komórkowej nie świadczyli usług – smartfon nie miał karty SIM lub była ona powiązana z innym operatorem. Wystarczyło połączenie z internetem przez Wi-Fi.
Dane, które są przesyłane, obejmują trwałe identyfikatory urządzenia (IMEI, adres MAC, itp.), identyfikatory lokalizacji (współrzędne GPS, identyfikator komórki sieci komórkowej, itp.), profile użytkowników (numer telefonu, wzorce korzystania z aplikacji, telemetria aplikacji) i połączenia społeczne (historia/czas połączeń/SMS, numery telefonów kontaktowych, itp.) – stwierdzają badacze.
Po połączeniu, te informacje stwarzają poważne ryzyko deanonimizacji użytkownika i śledzenia go w praktycznie każdym miejscu, zwłaszcza że w Chinach każdy numer telefonu jest zarejestrowany pod unikalnym identyfikatorem obywatela.
Jako przykład badacze podają smartfon Redmi Note 11, który wysyła żądania na adres URL „tracking.miui.com/track/v4” za każdym razem, gdy preinstalowane aplikacje Settings, Note, Recorder, Phone, Message i Camera są otwierane i używane. Informacje są wysyłane nawet jeśli użytkownicy zrezygnują z wysyłania danych diagnostycznych.
Jak mówią autorzy badania, zbieranie danych z urządzeń nie ustaje, nawet gdy urządzenia opuszczają Chiny. Oznacza to, że posiadacze takich smartfonów mogą być śledzeni nawet za granicą.
Jak wynika z ustaleń naukowców, w chińskich dystrybucjach Androida preinstalowanych jest trzy do czterech razy więcej aplikacji firm trzecich niż na tych samych smartfonach w Europie czy USA. Jakby tego było mało, aplikacje te otrzymują 8 do 10 razy więcej uprawnień.
Ogólnie rzecz biorąc, nasze ustalenia malują niepokojący obraz stanu prywatności danych użytkowników na największym na świecie rynku smartfonów z Androidem i podkreślają pilną potrzebę ściślejszej kontroli prywatności w celu zwiększenia zaufania zwykłych ludzi do firm technologicznych, z których wiele jest częściowo lub w całości własnością państwa – podsumowują autorzy badania.
Źródło: Trinity College Dublin
Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.
