Сводная группа исследователей из нескольких британских университетов обнаружила множество проблем с конфиденциальностью, возникающих при использовании смартфонов на базе Android.

Эксперты протестировали устройства производства Samsung, Xiaomi, Realme и Huawei, а также операционные системы LineageOS и /e/OS (два известных форка Android, которые призваны обеспечить долгосрочную поддержку пользователям и позволяют отказаться от сервисов Google).

Важно отметить, что анализ касался сбора данных, от которого нет возможности отказаться, то есть с такой телеметрией пользователи Android ничего не могут поделать. Исследователи подчеркивают, что это особенно важно, когда производители смартфонов поставляют свои устройства со сторонними приложениями, которые нельзя удалить (те незаметно собирают данные, даже когда ими не пользуется владельце устройства).

 «За исключением /e/OS, даже с минимальными настройками и в случае, когда телефон простаивает, эти кастомизированные производителями варианты Android передают большой объем информации разработчику ОС, а также третьим сторонам (Google, Microsoft, LinkedIn, Facebook и так далее), чьи приложения предустановленны в системе», — говорят специалисты.

Как видно в таблице ниже, конфиденциальные данные пользователей, включая постоянные идентификаторы, сведения об использовании приложений и телеметрию, не только передаются производителям устройств, но и  различным третьим сторонам. Более того, почти всегда Google тоже оказывается среди получателей всех собранных данных.

Также эксперты заметили, что зашифрованные данные некоторых встроенных системных приложений, таких как miui.analytics (Xiaomi), Heytap (Realme) и Hicloud (Huawei), иногда могут быть расшифрованы, что подвергает их пользователей рискам MitM-атак.

Объем данных (Кб/час), передаваемых каждым вендором

Не менее интересно и то, что когда пользователь сбрасывает рекламные идентификаторы для своей учетной записи Google на Android, система сбора данных все равно может легко связать новый ID с тем же устройством и добавить его в ту же историю отслеживания. Деанонимизация людей происходит с использованием различных методов, включая данные SIM-карты, IMEI, историю данных о местоположении, IP-адреса, сетевой SSID и так далее.

Возможные точки сбора данных с перекрестными ссылками

Издание Bleeping Computer цитирует создателя /e/OS Гаэля Дюваля, который прокомментировал выводы авторов доклада:

«Сегодня все больше людей понимают, что рекламная модель, которая питает бизнес мобильных ОС, основана на сборе личных данных в промышленных, ранее невиданных масштабах, на мировом уровне. Это отрицательно сказывается на многих аспектах нашей жизни и даже может угрожать демократии, как это уже случалось. Я полагаю, что регуляция защиты персональных данных необходима нам как никогда. Все началось с GDPR, но этого недостаточно, и нам нужно переходить на модель “конфиденциальность по умолчанию” вместо модели “конфиденциальность как опция”».

Эксперты Google также прокомментировали публикацию исследователей. В сущности, в компании заявили, что никакой угрозы приватности нет, и все современные гаджеты работают именно таким образом.

 «Хотя мы ценим работу исследователей, мы не согласны с тем, что такое поведение [устройств] является неожиданным: именно так работают современные смартфоны. Как объясняется в статье справочного центра, посвященной работе сервисов Google Play, в разнообразной экосистеме устройств и программных сборок эти данные необходимы для работы основных сервисов устройств, включая push-уведомления и обновления программного обеспечения. Например, сервисы Google Play используют данные о сертифицированных устройствах Android для поддержки их основных функций. Сбор ограниченной базовой информации, такой как IMEI устройства, необходим для надежной доставки критических обновлений для всех устройств и приложений Android», — говорят в Google.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    5 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии