研究人员警告说,不要在中国购买安卓(Android)手机,因为它们预装了很多应用程序,这些应用程序会在未经同意或通知的情况下将隐私敏感数据传输到第三方域名。
由Haoyu Liu(爱丁堡大学)、Douglas Leith(都柏林三一学院)和Paul Patras(爱丁堡大学)进行的研究表明,私人信息泄露对中国的手机客户构成严重的跟踪风险,即使他们在隐私法较强的国家旅行时也是如此。
在一篇题为“放大镜下的Android操作系统隐私——来自东方的故事”的论文中,这三位大学教授分析了中国三大热门智能手机厂商OnePlus、小米和Oppo Realme手机上安装的Android系统应用程序。
该论文称:
中国是目前Android智能手机用户数量最多的国家。我们结合使用静态和动态代码分析技术来研究中国三个最受欢迎的供应商的 Android 智能手机上预装系统应用程序传输的数据。我们发现,数量惊人的预装系统、供应商和第三方应用程序被授予危险权限。通过流量分析,我们发现这些包向许多第三方域传输与用户设备(永久标识符)、地理位置(GPS 坐标、网络相关标识符)、用户个人资料(电话号码、应用程序使用情况)和社交相关的隐私敏感信息关系(例如,通话记录),未经同意甚至通知。
研究人员专门研究了操作系统和系统应用程序传输的信息,以排除用户安装的软件。他们假设用户已经选择不使用分析和个性化服务,不使用任何云存储或可选的第三方服务,并且没有在安卓发行版开发商运营的任何平台上创建一个账户。这是一个明智的政策,但它似乎没有什么帮助。
预装的应用程序集包括Android AOSP包、供应商代码和第三方软件。该报告称,在每一个装有中国固件的安卓手机中都有超过30个第三方软件包。
其中包括小米RedmiNote11上的百度输入法、科大讯飞输入法和搜狗输入法等中文输入法应用程序。在OnePlus9R和RealmeQ3Pro上,有作为前台导航应用程序的百度地图和在后台持续运行的高德地图包。中国固件中还捆绑了各种新闻、视频流和在线购物应用程序。
其中包括小米红米Note 11上的百度输入法、科大讯飞输入法和搜狗输入法等中文输入法。在OnePlus 9R和Realme Q3 Pro上,有百度地图作为前台导航应用和AMap包,在后台持续运行。而且还有各种新闻、视频流和在线购物应用程序被捆绑在中国固件中。
在这个有限的范围内,研究人员发现,来自三个指定供应商的Android手机“不仅向设备供应商,而且向百度等服务提供商和中国移动网络运营商发送了数量令人担忧的个人身份信息(PII)”。
即使这些网络运营商不提供服务——没有SIM卡或SIM卡与不同的网络运营商相关联,被测试的手机也会这样做。
“我们观察到的传输数据包括永久性设备标识符(IMEI、MAC地址等)、位置标识符(GPS坐标、移动网络单元ID等)、用户配置文件(电话号码、应用程序使用模式、应用程序遥测)、和社交联系(通话/短信历史/时间、联系电话号码等)。”研究人员在他们的论文中说。
“综合起来,这些信息构成了用户去匿名化和广泛跟踪的严重风险,特别是因为在中国,每个电话号码都是在公民身份证下登记的。”
例如,研究人员声称,每当打开和使用预装的设置、便签、录音机、电话、消息和相机应用程序时,Redmi手机都会向URL“tracking.miui.com/track/v4”发送post请求,即使用户在设备启动期间选择关闭“发送使用情况和诊断数据”,也会发送数据。
POST https://tracking.miui.com/track/v4
{ "imsis": "[b2d5c6783e3fa6eef38ff1fc7dedfb10,]",..,
{"pkg": "com.xiaomi.smarthome","action": "
first_launch", "fit": 1666816796000, ...},
{"pkg": "com.android.settings","ts": 1666818456958,"
duration": 1424, ...},
{"pkg": "com.miui.securityinputmethod","ts":
1666818463544,"duration": 4706, ... },
{"pkg": "com.miui.notes","ts": 1666818784908,"stat":
"app_start",...}...}
研究人员表示,即使中国以外的司法管辖区实施了更强大的数据保护制度,这些设备在离开中国时收集的数据也不会改变。研究人员认为,这意味着所引用的手机供应商和一些第三方可以跟踪中国的海外旅行者和学生,并了解他们的外国联系人。
研究人员的另一项发现是,中国Android发行版中预装的第三方应用程序比其他国家的原始Android系统多三到四倍。与来自中国以外的Android发行版相比,这些应用获得的第三方应用权限是其8到10倍。
“总的来说,我们的调查结果描绘了世界上最大的Android市场用户数据隐私状况的令人不安的情况,并强调迫切需要更严格的隐私控制以增加普通民众对科技公司的信任。”研究人员总结道。