image

Onderzoekers slaan alarm over apps op Chinese Androidtelefoons

vrijdag 10 februari 2023, 14:48 door Redactie, 20 reacties

In China verkochte Androidtelefoons bevatten een "alarmerend" aantal vooraf geïnstalleerde apps die informatie over gebruikers naar allerlei partijen versturen en over gevaarlijke permissies beschikken, zo stellen onderzoekers van het Trinity College Dublin en de Universiteit van Edinburgh. Het gaat zowel om systeemapplicaties als apps van de fabrikant en derde partijen. Voor hun onderzoek analyseerden de onderzoekers telefoons van OnePlus, Xiaomi en Oppo Realme.

Het ging alleen om apps die standaard worden meegeleverd. Daarnaast deden de onderzoekers zich voor als privacybewuste gebruiker die zich afmeldt voor analytics en personalisatie, geen cloudopslag gebruikt en geen andere optionele third-party diensten en geen account op welk platform dan ook heeft aangemaakt. Op basis van verkeersanalyse bleek dat de vooraf geïnstalleerde apps privacygevoelige data over het apparaat van de gebruiker, gps-gegevens, gebruikersprofiel en 'sociale relaties', zoals gespreksgeschiedenis, zonder toestemming of kennisgeving naar domeinen van derde partijen sturen.

Hierdoor is het mogelijk om gebruikers te de-anonimiseren en te volgen, ook wanneer de gebruiker China verlaat. In China is elk telefoonnummer geregistreerd onder een burgerservicenummer. Daarnaast blijven de apparaten data versturen, ook als ze zich in jurisdicties bevinden waar een sterkere privacywetgeving geldt dan in China het geval is. "Dit houdt in dat telefoonfabrikanten en sommige derde partijen nog steeds zakenmensen en studenten die in het buitenland studeren kunnen volgen", aldus de onderzoekers.

"Ons onderzoek geeft een zorgwekkend beeld weer over de staat van dataprivacy in de grootste Androidmarkt ter wereld, en toont de noodzaak voor strengere privacycontrols, om het vertrouwen van gewone mensen in techbedrijven te vergroten, waarvan er veel deels in handen van de staat zijn", zo laten de onderzoekers verder weten (pdf).

Image

Reacties (20)
10-02-2023, 15:17 door Anoniem
Zo lang alles mag onder de noemer "Beveiliging en Fraude" dan mag alles.
Mijn Nokia 5.x telefoon moest ook perse een GPS locatie bij de setup.
10-02-2023, 15:42 door Anoniem
China, de volgende natie na de Russische Federatie om volop te kunnen bashen.

Waarom er dan eerst een productieplatform van maken? Is 'het westen' failliet wellicht?
10-02-2023, 16:37 door Anoniem
Is verder geen probleem, mensen blijven die troep onder het mom "fuck it/boeie" toch wel kopen, en de overheid doet haar best die google zooi vereiste te maken.

"Gebruik" zelf een android crap loze 4G feature phone van Doro.
10-02-2023, 17:11 door Anoniem
Hoe staat het met de export modellen?
10-02-2023, 18:20 door Anoniem
Door Anoniem: "Gebruik" zelf een android crap loze 4G feature phone van Doro.
Ah, goed om te zien dat seniorentelefoons inmiddels 4G ondersteunen, dat was de laatste keer dat ik een nieuwe telefoon nodig had nog niet zo.

Idioot trouwens dat gewone, niet-smart telefoons "feature" phones zijn gaan heten. Heet het "feature" vanwege alle ontbrekende features? Ik snap die term niet.
10-02-2023, 19:23 door Anoniem
Vind het voor ons in Europa eigenlijk interessanter hoe het zit met software op de modellen van die merken die hier verkocht worden.
10-02-2023, 19:47 door Anoniem
n China is elk telefoonnummer geregistreerd onder een burgerservicenummer

guess what, dat is bijna in de hele wereld zo... alleen in nederland niet, en ik heb in duitsland, spanje en zweden nog wat besteld anoniem, maar wederom, wat denk je wat er gebeurt als je opwaardeert?

een hoop FUD en anti china propaganda, dat kan alleen van Amerika komen... wie heeft weer een spreekstoel betaald in ierland? ierland wat leeft op eu subsidies en amerikaanse tech bedrijven die weer belastingkorting geven?
10-02-2023, 20:04 door Anoniem
Ballonnen, camera’s, apps, we zijn de Sjaak.
Het wachten is nu nog op een aanval met Chinese drones.
10-02-2023, 20:25 door johanw
Zijn dit Chinese telefoons gericht op de Chinese markt of export modellen die hier worden verkocht? Dat schijnt nogal een verschil te maken.

Verder hab ik er minder problemen mee dat er gegevens naar China verstuurd worden dan dat westerse diensten er aan kunnen komen. Van de Chinezen heb ik geen last, die interesseert het niet als ik media illegaal download of politieke opvattingen heb die niet mainstream zijn, van de westerse diensten mogelijk wel.
10-02-2023, 22:27 door Anoniem
Oud Chinees gezegde: Peking is ver en de bergen zijn hoog.
11-02-2023, 00:43 door Anoniem
Door Anoniem: Hoe staat het met de export modellen?
Hier de applicatie feedback en een proces met de naam spock (ook internet weet niet wat het is) willen graag continu data delen.
Bij iedere reboot (plus nog ongeveer 20 onnodige processen) met de hand geforceerd sluiten en uiteraard geblokkeerd in een firewall. Doe je dit niet, kun je mijn inziens beter geen enkele telefoon gebruiken.
11-02-2023, 12:09 door Anoniem
Niet alleen opeen Chinese Android, maar overal op Androidjes.

Lekker makkelijk toch, dat vingertje wijzen naar Mainland China of de Russische Federatie.
Maar wat doen we zelf?

Kijk hier maar eens naar (random voorbeeld natuurlijk:
https://reports.exodus-privacy.eu.org/en/reports/de.sec.mobile/latest/

7 trackers en 18 permissies.

Lidl zit met een dergelijke app al in je broekzak te grabbelen, bij wijze van spreken dan.

Is er nog een spoortje van anonimiteit en privacy te bekennen, zo?

#obserwator
11-02-2023, 12:11 door Anoniem
Heb je de nieuwste zooi niet, kun je ook al niet meer Whatsappen van Meta.
Of dat de ergste straf in de wereld kan zijn.
11-02-2023, 12:14 door Anoniem
@johanw,

Import uit China of geassembleerd in Indonesië en ingevoerd via België.
Of direct uit de Rotterdamse toko?
11-02-2023, 12:52 door Anoniem
Door Anoniem: Mijn Nokia 5.x telefoon moest ook perse een GPS locatie bij de setup.

Mijn Fairphone 3 moest online zijn om de bootloader unlocking uit te kunnen voeren, alvorens LineageOS te flashen.
11-02-2023, 18:45 door Anoniem
Het buzzword moet 'bewustwording bij het grote publiek' worden.

Maar is dat bij de Rip van Winkle generatie van heden nog wel goed mogelijk?

Hoe hard moet die 'wordt nu eindelijk eens wakker, mensen'-trompet wel gaan klinken, dan?

Ik denk dat de massa al verloren heeft, maar voor de vorm gaan we nog even door met aankaarten van de gevaren hier.

Assange's lot is al bijna beslist. Snowden is al van het westelijk halfrond verdwenen. McAfee leeft niet meer.

Ergo, hopeloze missie. Mission impossible dus.
13-02-2023, 17:05 door Anoniem
Door Anoniem: Hoe staat het met de export modellen?

Uit het abstract (https://arxiv.org/pdf/2302.01890.pdf):

Finally, we perform a cross-regional analysis and compare the
preinstalled system apps on the Chinese (CN) and Global (e.g.,
EU) Android OS distributions from the same OS developers. We
find that the number of preinstalled third-party apps on CN OS
distributions is 3 to 4 times larger than for the corresponding Global
OS distribution, and that these are given 8 to 10 times as many
permissions as third-party apps in Global distributions, including
many more permissions classed as dangerous.
13-02-2023, 22:28 door Anoniem
Door Anoniem:
Door Anoniem: Hoe staat het met de export modellen?

Uit het abstract (https://arxiv.org/pdf/2302.01890.pdf):

En minimale verbetering : URL tags :
( url tussen vierkante haken , de url, en /url tussen vierkante haken)
https://arxiv.org/pdf/2302.01890.pdf


Tl;DR : de internationale versie (cq versie indien gebruikt met intl locatie/locale) doet redelijk z'n best om zich aan de EU regels te houden .

Nog wat quotes :


Regional differences take the form of differences in the installed
firmware, e.g., differences between the system apps installed in
the Global/EU vs. CN Android OS distributions. In addition, even
when the same version of system app is installed in the CN and
Global distributions, the app may contain logic that causes it to
behave differently depending on the region, e.g., by checking the
current location. Regarding the latter, by reverse-engineering the
main system apps, we find that mobile devices tend to use locale,
firmware version, IP address and MCC (which identifies the mobile
operator country) to localize their behavior. For example, Xiaomi
maintains a list of URLs in a Java HashMap:
1 {"CN": "data.mistat.xiaomi.com",
2 "INTL": "data.mistat.intl.xiaomi.com",
3 "IN": "data.mistat.india.xiaomi.com"},
and uses a hardcoded value ("CN") and locale together, to select an
endpoint in the Chinese firmware. The preinstalled Amap package
on Realme and OnePlus handsets uses the MCC to determine the
API endpoint:
1 StringBuilder sb = new StringBuilder();
2 if (a2) {
3 sb.append("http://aps.oversea.amap.com/APS/r?ver=5.1&q=0");
4 } else if (z) {
5 sb.append("http://aps.testing.amap.com/APS/r?ver=5.1&q=0");
6 } else if (z2) {
7 sb.append("https://aps.amap.com/APS/r?ver=5.1&q=0");
8 } else {
9 sb.append("http://aps.amap.com/APS/r?ver=5.1&q=0");}
in which a2 is True if MCC does not equal 460 (China).
Although the mobile devices in our study were purchased on the
Chinese market, we do not conduct experiments locally and recog-
nize that the data collected outside China may not fully represent a
device’s behavior in that region. To overcome this issue, we set up a
network tunnel between our campus and a Huawei Cloud instance
in Shanghai. The IP address observed by the backend server is thus
that of the Huawei Cloud server located in Shanghai. We set up
each handset using Chinese as the language to simulate a local user.
With this setup, the only app that we observed still adapting to
the device’s true location was the Amap app. Fortunately, through
reverse-engineering (decrypting/decoding every connection in the
collected traces via mitmproxy and apk decompiling and analysis,
which allows us to examine all the transmitted fields in plaintext)
we confirmed that the contents of the messages transmitted to
Amap’s different API endpoints are the same in all regions, and so
leaves our traffic collection unaffected. We did not find any sys-
tem services or preinstalled applications that use GPS to select an
endpoint

En de conclusie :


8 CONCLUSION
In this work we study the Chinese version of the Android OS dis-
tributions run by Xiaomi, Realme, and OnePlus handsets. We mea-
sure the network traffic the handsets generate when in-use by a
privacy-aware consumer. We find that these devices come bun-
dled with a number of third-party applications, some of which are
granted dangerous runtime permissions by default without user
consent, and transmit traffic containing a broad range of geoloca-
tion, user-profile and social relationships PII to both phone vendors
and third-party domains, without notifying the user or offering the
choice to opt-out. In contrast, the data shared by the Global version
of the firmware is mostly limited to device-specific information.
Our study therefore highlights major differences in terms of how
privacy provisions are enforced in different regions.
16-02-2023, 10:35 door Gluiperd
Door Anoniem: China, de volgende natie na de Russische Federatie om volop te kunnen bashen.

Waarom er dan eerst een productieplatform van maken? Is 'het westen' failliet wellicht?
Dat was opportunisme, men wilde dat China waar geen onafhankelijke vakbonden toegestaan zijn, inzetten als goedkoop productieland, en dacht het land aan het lijntje te kunnen houden. In wook jargon was het koloniaal te noemen hoe men China benaderde. Ik vond het naïeve globalisering. Het maakt ons veel te afhankelijk. Autarkie voorop stellen is beter.
22-02-2023, 08:04 door Anoniem
Er is geen Android telefoon niet Chinees, iPhones worden ook in China geassembleerd, alle overheden spioneren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.