Onderzoekers slaan alarm over apps op Chinese Androidtelefoons
In China verkochte Androidtelefoons bevatten een "alarmerend" aantal vooraf geïnstalleerde apps die informatie over gebruikers naar allerlei partijen versturen en over gevaarlijke permissies beschikken, zo stellen onderzoekers van het Trinity College Dublin en de Universiteit van Edinburgh. Het gaat zowel om systeemapplicaties als apps van de fabrikant en derde partijen. Voor hun onderzoek analyseerden de onderzoekers telefoons van OnePlus, Xiaomi en Oppo Realme.
Het ging alleen om apps die standaard worden meegeleverd. Daarnaast deden de onderzoekers zich voor als privacybewuste gebruiker die zich afmeldt voor analytics en personalisatie, geen cloudopslag gebruikt en geen andere optionele third-party diensten en geen account op welk platform dan ook heeft aangemaakt. Op basis van verkeersanalyse bleek dat de vooraf geïnstalleerde apps privacygevoelige data over het apparaat van de gebruiker, gps-gegevens, gebruikersprofiel en 'sociale relaties', zoals gespreksgeschiedenis, zonder toestemming of kennisgeving naar domeinen van derde partijen sturen.
Hierdoor is het mogelijk om gebruikers te de-anonimiseren en te volgen, ook wanneer de gebruiker China verlaat. In China is elk telefoonnummer geregistreerd onder een burgerservicenummer. Daarnaast blijven de apparaten data versturen, ook als ze zich in jurisdicties bevinden waar een sterkere privacywetgeving geldt dan in China het geval is. "Dit houdt in dat telefoonfabrikanten en sommige derde partijen nog steeds zakenmensen en studenten die in het buitenland studeren kunnen volgen", aldus de onderzoekers.
"Ons onderzoek geeft een zorgwekkend beeld weer over de staat van dataprivacy in de grootste Androidmarkt ter wereld, en toont de noodzaak voor strengere privacycontrols, om het vertrouwen van gewone mensen in techbedrijven te vergroten, waarvan er veel deels in handen van de staat zijn", zo laten de onderzoekers verder weten (pdf).
Mijn Nokia 5.x telefoon moest ook perse een GPS locatie bij de setup.
Waarom er dan eerst een productieplatform van maken? Is 'het westen' failliet wellicht?
"Gebruik" zelf een android crap loze 4G feature phone van Doro.
Idioot trouwens dat gewone, niet-smart telefoons "feature" phones zijn gaan heten. Heet het "feature" vanwege alle ontbrekende features? Ik snap die term niet.
guess what, dat is bijna in de hele wereld zo... alleen in nederland niet, en ik heb in duitsland, spanje en zweden nog wat besteld anoniem, maar wederom, wat denk je wat er gebeurt als je opwaardeert?
een hoop FUD en anti china propaganda, dat kan alleen van Amerika komen... wie heeft weer een spreekstoel betaald in ierland? ierland wat leeft op eu subsidies en amerikaanse tech bedrijven die weer belastingkorting geven?
Het wachten is nu nog op een aanval met Chinese drones.
Verder hab ik er minder problemen mee dat er gegevens naar China verstuurd worden dan dat westerse diensten er aan kunnen komen. Van de Chinezen heb ik geen last, die interesseert het niet als ik media illegaal download of politieke opvattingen heb die niet mainstream zijn, van de westerse diensten mogelijk wel.
Bij iedere reboot (plus nog ongeveer 20 onnodige processen) met de hand geforceerd sluiten en uiteraard geblokkeerd in een firewall. Doe je dit niet, kun je mijn inziens beter geen enkele telefoon gebruiken.
Lekker makkelijk toch, dat vingertje wijzen naar Mainland China of de Russische Federatie.
Maar wat doen we zelf?
Kijk hier maar eens naar (random voorbeeld natuurlijk:
https://reports.exodus-privacy.eu.org/en/reports/de.sec.mobile/latest/
7 trackers en 18 permissies.
Lidl zit met een dergelijke app al in je broekzak te grabbelen, bij wijze van spreken dan.
Is er nog een spoortje van anonimiteit en privacy te bekennen, zo?
#obserwator
Of dat de ergste straf in de wereld kan zijn.
Import uit China of geassembleerd in Indonesië en ingevoerd via België.
Of direct uit de Rotterdamse toko?
Mijn Fairphone 3 moest online zijn om de bootloader unlocking uit te kunnen voeren, alvorens LineageOS te flashen.
Maar is dat bij de Rip van Winkle generatie van heden nog wel goed mogelijk?
Hoe hard moet die 'wordt nu eindelijk eens wakker, mensen'-trompet wel gaan klinken, dan?
Ik denk dat de massa al verloren heeft, maar voor de vorm gaan we nog even door met aankaarten van de gevaren hier.
Assange's lot is al bijna beslist. Snowden is al van het westelijk halfrond verdwenen. McAfee leeft niet meer.
Ergo, hopeloze missie. Mission impossible dus.
Uit het abstract (https://arxiv.org/pdf/2302.01890.pdf):
preinstalled system apps on the Chinese (CN) and Global (e.g.,
EU) Android OS distributions from the same OS developers. We
find that the number of preinstalled third-party apps on CN OS
distributions is 3 to 4 times larger than for the corresponding Global
OS distribution, and that these are given 8 to 10 times as many
permissions as third-party apps in Global distributions, including
many more permissions classed as dangerous.
Uit het abstract (https://arxiv.org/pdf/2302.01890.pdf):
En minimale verbetering : URL tags :
( url tussen vierkante haken , de url, en /url tussen vierkante haken)
https://arxiv.org/pdf/2302.01890.pdf
Tl;DR : de internationale versie (cq versie indien gebruikt met intl locatie/locale) doet redelijk z'n best om zich aan de EU regels te houden .
Nog wat quotes :
Regional differences take the form of differences in the installed
firmware, e.g., differences between the system apps installed in
the Global/EU vs. CN Android OS distributions. In addition, even
when the same version of system app is installed in the CN and
Global distributions, the app may contain logic that causes it to
behave differently depending on the region, e.g., by checking the
current location. Regarding the latter, by reverse-engineering the
main system apps, we find that mobile devices tend to use locale,
firmware version, IP address and MCC (which identifies the mobile
operator country) to localize their behavior. For example, Xiaomi
maintains a list of URLs in a Java HashMap:
1 {"CN": "data.mistat.xiaomi.com",
2 "INTL": "data.mistat.intl.xiaomi.com",
3 "IN": "data.mistat.india.xiaomi.com"},
and uses a hardcoded value ("CN") and locale together, to select an
endpoint in the Chinese firmware. The preinstalled Amap package
on Realme and OnePlus handsets uses the MCC to determine the
API endpoint:
1 StringBuilder sb = new StringBuilder();
2 if (a2) {
3 sb.append("http://aps.oversea.amap.com/APS/r?ver=5.1&q=0");
4 } else if (z) {
5 sb.append("http://aps.testing.amap.com/APS/r?ver=5.1&q=0");
6 } else if (z2) {
7 sb.append("https://aps.amap.com/APS/r?ver=5.1&q=0");
8 } else {
9 sb.append("http://aps.amap.com/APS/r?ver=5.1&q=0");}
in which a2 is True if MCC does not equal 460 (China).
Although the mobile devices in our study were purchased on the
Chinese market, we do not conduct experiments locally and recog-
nize that the data collected outside China may not fully represent a
device’s behavior in that region. To overcome this issue, we set up a
network tunnel between our campus and a Huawei Cloud instance
in Shanghai. The IP address observed by the backend server is thus
that of the Huawei Cloud server located in Shanghai. We set up
each handset using Chinese as the language to simulate a local user.
With this setup, the only app that we observed still adapting to
the device’s true location was the Amap app. Fortunately, through
reverse-engineering (decrypting/decoding every connection in the
collected traces via mitmproxy and apk decompiling and analysis,
which allows us to examine all the transmitted fields in plaintext)
we confirmed that the contents of the messages transmitted to
Amap’s different API endpoints are the same in all regions, and so
leaves our traffic collection unaffected. We did not find any sys-
tem services or preinstalled applications that use GPS to select an
endpoint
En de conclusie :
8 CONCLUSION
In this work we study the Chinese version of the Android OS dis-
tributions run by Xiaomi, Realme, and OnePlus handsets. We mea-
sure the network traffic the handsets generate when in-use by a
privacy-aware consumer. We find that these devices come bun-
dled with a number of third-party applications, some of which are
granted dangerous runtime permissions by default without user
consent, and transmit traffic containing a broad range of geoloca-
tion, user-profile and social relationships PII to both phone vendors
and third-party domains, without notifying the user or offering the
choice to opt-out. In contrast, the data shared by the Global version
of the firmware is mostly limited to device-specific information.
Our study therefore highlights major differences in terms of how
privacy provisions are enforced in different regions.
Waarom er dan eerst een productieplatform van maken? Is 'het westen' failliet wellicht?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
