Вокруг популярных смартфонов на Android разгорается новый скандал. Исследователи из Эдинбургского университета в Великобритании и Тринити-колледжа в Дублине (Ирландия) обнаружили, что мобильные устройства занимаются сбором данных о пользователях и отправляют информацию третьим сторонам.
Эксперты протестировали устройства производства Samsung, Xiaomi, Realme и Huawei, а также операционные системы LineageOS и /e/OS.
Важно отметить, что анализ касался сбора данных, от которого нет возможности отказаться, то есть с такой телеметрией пользователи Android ничего не могут поделать. Исследователи подчеркивают, что это особенно важно, когда производители смартфонов поставляют свои устройства со сторонними приложениями, которые нельзя удалить (те незаметно собирают данные, даже когда ими не пользуется владелец устройства).
Конфиденциальные данные пользователей, включая постоянные идентификаторы, сведения об использовании приложений и телеметрию, не только передаются производителям устройств, но и различным третьим сторонам (Microsoft, LinkedIn, Facebook и др.).
Также эксперты заметили, что зашифрованные данные некоторых встроенных системных приложений, таких как miui.analytics (Xiaomi), Heytap (Realme) и Hicloud (Huawei), иногда могут быть расшифрованы, что подвергает их пользователей рискам MitM-атак (вид атаки, при которой злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом).
Не менее интересно и то, что когда пользователь сбрасывает рекламные идентификаторы для своей учетной записи Google на Android, система сбора данных все равно может легко связать новый ID с тем же устройством и добавить его в ту же историю отслеживания. Деанонимизация людей происходит с использованием различных методов, включая данные SIM-карты, IMEI, историю данных о местоположении, IP-адреса, сетевой SSID и так далее.
Издание Bleeping Computer цитирует создателя /e/OS Гаэля Дюваля, который прокомментировал выводы авторов доклада:
"Сегодня все больше людей понимают, что рекламная модель, которая питает бизнес мобильных ОС, основана на сборе личных данных в промышленных, ранее невиданных масштабах, на мировом уровне. Это отрицательно сказывается на многих аспектах нашей жизни и даже может угрожать демократии, как это уже случалось. Я полагаю, что регуляция защиты персональных данных необходима нам как никогда. Все началось с GDPR (общие правила защиты данных - положения законодательства ЕС о защите данных и конфиденциальности), но этого недостаточно, и нам нужно переходить на модель "конфиденциальность по умолчанию" вместо модели "конфиденциальность как опция".