Один из владельцев смартфона под Android решил проверить, какую конкретно информацию устройство отправляет в интернет. Он установил Debian on Android Kit на свой Samsung Note 1 (GT N7000) и опубликовал результаты «прослушки» в интернете. Снифинг трафика осуществлялся с помощью старого доброго tcpdump.
Через 24 часа работы он получил следующий результат в файлах pcap.
root@debian-on-android:~# ls -l output-2014-01-1*
-rw-r--r--. 1 root root 24907 Jan 18 12:53 output-2014-01-18-1390049466.pcap
-rw-r--r--. 1 root root 2881 Jan 18 12:55 output-2014-01-18-1390049736.pcap
-rw-r--r--. 1 root root 14963016 Jan 18 14:02 output-2014-01-18-1390049777.pcap
-rw-r--r--. 1 root root 54695690 Jan 19 14:03 output-2014-01-18-1390053867.pcap
-rw-r--r--. 1 root root 12492822 Jan 19 16:27 output-2014-01-19-1390140216.pcap
root@debian-on-android:~#
С помощью программы IPython Notebook хакер осуществил анализ данных, а потом импортировал информацию в базу данных SQLite3.
Как выяснилось, за сутки Android-смартфон отправил и получил 80 МБ данных. В основном, обмен информацией осуществлялся с серверами Google и Facebook.
Пять самых популярных хостов.
graph.facebook.com (670 запросов)
www.google.com (535)
orcart.facebook.com (435)
android.googleapis.com (360)
www.googleapis.com (340)
На странице автора можно посмотреть, с каким хостами и портами чаще всего устанавливал соединение его смартфон: https://dornea.nu/blog/2014/01/24h-android-sniffing-using-tcpdump.