Мобильники OnePlus, Xiaomi, Oppo, Realme пересылают личные данные и местоположение пользователей производителям аппаратов и ПО

by topbloger 9. февраля 2023 11:43

Смартфоны шпионят по-китайски. Смартфоны востребованных в России китайских брендов неустанно следят за пользователями. Детальнейшая информация о них отправляется производителям устройств и разработчикам приложений. Часть данных могут раскрыть личность пользователя и указать на его местоположение.

Персональный карманный шпион

Смартфоны китайских компаний OnePlus, Xiaomi, Oppo и Realme следят за своими владельцами в режиме 24/7, пишет The Register. Они собирают внушительные массивы данных и отсылают их третьим лицам не просто без согласия пользователя, но и вовсе без каких-либо уведомлений и предупреждений.

Дело касается в первую очередь смартфонов, предназначенных для внутреннего рынка Китая, показало совместное исследование специалистов из Великобритании и Ирландии. Однако даже если купить телефон в Китае и затем выехать с ним за пределы КНР, слежка не прекратится.

Это означает, что смартфоны OnePlus, Xiaomi, Oppo и Realme будут собирать информацию, в том числе, и о гражданах других государств. В этом плане особая угроза утечки персональных данных висит над россиянами, поскольку для них покупка смартфона любого из перечисленных брендов почти в китайских интернет-магазинах всегда обходится существенно дешевле приобретения их в российской рознице. Это особенно сильно заметно на примере моделей Xiaomi Redmi 10 и Realme 9i — их официальные версии при пересечении российской границы очень резко и притом безосновательно прибавляют в цене.

Для России, в целом, это особенно актуально, поскольку в стране нет отечественных производителей Android-смартфонов, как и местных оболочек для этой ОС. К тому же на фоне всем известных событий из страны ушли все крупные производители смартфонов, кроме китайских. Например, устройства Apple и Samsung теперь импортируются в Россию только на условиях параллельного импорта.

Всему виной "мусорное" ПО

Все подробности своего исследования группа ученых раскрыла в статье под названием «Конфиденциальность ОС Android под лупой — восточная сказка» (Android OS Privacy Under the Loupe — A Tale from the East). Они подробнейшим образом изучили работу предустановленных и системных приложений на устройствах OnePlus, Xiaomi, Oppo и Realme, симулировав ситуацию, когда пользователь купил смартфон одной из этих марок и принципиально пользуется только комплектным ПО, не заводя при этом учетную запись в облачном сервисе производителя устройства (например, в Xiaomi Cloud).

Специалисты подсчитали, что китайские смартфоны поставляются, в среднем, более с 30 предустановленными сторонними приложениями. Многие из них отвечают за ввод текста — в популярном в России Xiaomi Redmi Note 11 это Baidu Input, IflyTek Input и Sogou Input на Xiaomi Redmi Note 11. а в телефонах OnePlus 9R и Realme Q3 Pro есть утилита Baidu Map, установленная в качестве основного навигатора, и программа AMap, которая постоянно работает в фоновом режиме. Кроме того, в китайскую прошивку встроены различные приложения для новостей, потокового видео и онлайн-покупок.

Доказательство слежки

Исследователи убедились, что все эти программы аккумулируют информацию о пользователе и затем отсылают ее не только производителю устройства, но и разработчикам ПО. Часть данных может помочь идентифицировать пользователя и даже определить сравнительно точное его местоположение.

По словам исследователей, приложения сливают IMEI и MAC-адрес устройства, идентификаторы местоположения (координаты GPS, идентификатор соты мобильной сети и т. д.), профили пользователей (номер телефона, шаблоны использования приложений, телеметрия приложений), и социальные связи (история звонков/смс/время, контактные номера телефонов и т. д.). Притом отправка данных происходит, даже если в телефоне нет SIM-карты. Установка SIM-карты оператора из другой страны никак не решает проблему.

Например, исследователи утверждают, что телефон Redmi отправляет запросы на URL-адрес tracking.miui.com/track/v4 всякий раз, когда открываются и используются предустановленные приложения «Настройки», «Заметка», «Рекордер», «Телефон», «Сообщение» и «Камера».

«В совокупности эта информация создает серьезные риски деанонимизации пользователей и обширного отслеживания, особенно с учетом того, что в Китае каждый номер телефона зарегистрирован под идентификатором гражданина», — говорится в статье.

Смена геолокации — не панацея

Исследователи утверждают, что повальный сбор данных о пользователях смартфонами популярных китайских брендов даже и не думает прекращаться, когда устройства покидают территорию Китай. Эксперты отметили, что это позволяет разработчикам устройств и приложений отслеживать китайских путешественников и студентов за границей и узнавать информацию об их зарубежных контактах.

Еще один вывод исследователей заключается в том, что в китайских дистрибутивах Android предустановленных сторонних приложений в три-четыре раза больше, чем в базовом Android из других стран. И эти приложения получают в 8-10 раз больше разрешений для сторонних приложений по сравнению с дистрибутивами Android, разработанными за пределами Китая.

«В целом, наши результаты рисуют тревожную картину состояния конфиденциальности пользовательских данных на крупнейшем в мире рынке Android и подчеркивают обязательную необходимость более жесткого контроля конфиденциальности для повышения доверия простых людей к технологическим компаниям, многие из которых частично принадлежат государству», — подытожили исследователи.

mobile-review.com, 16.11.2022, "Китайские смартфоны уличили в слежке за владельцами": Американская компания Kryptowire обнаружила бэкдор в программном обеспечении некоторых смартфонов из Китая. Сообщается, что программа разработанная компанией Adups потенциально могла следить за пользователями Android-смартфонов и передавать конфиденциальную информацию на сервера, расположенные в Китае. Информация была передана властям США, но у тех пока нет оснований предполагать, что речь идет о целенаправленном слежении за гражданами. Впрочем, нет и уверенности в том, что это приложение использовалось для анализа в рекламных целях или же в интересах разведки КНР.

Первой под подозрение попала компания BLU, которая была первой замечена в использовании софта от Adups. Однако, как утверждают представители данного производителя, смартфоны, которые попали в поле зрения Kryptowire, не предназначались для продажи в США, поэтому их владельцы приобретали их исключительно на свой страх и риск. Также представители BLU утверждают, что ПО от Adups было удалено с их смартфонов. Впрочем, немногим позже такое же ПО было найдено и в моделях компаний Huawei и ZTE. Ситуация продолжает развиваться. Представители Kryptowire предлагают обращаться к ним, сообщая, что у них есть средства для ликвидации возможной утечки данных со смартфонов. — Врезка К.ру

blog comments powered by Disqus

Добавить комментарий



Список Компроматов

Избранное