Оценка утечки персональных данных на смартфонах Realme, Xiaomi и OnePlus⁠⁠

Группа исследователей из Эдинбургского университета опубликовала результат анализа утечек персональных данных в смартфонах Realme, Xiaomi и OnePlus, поставляемых для китайского и общемирового рынка. Во всех устройствах с прошивками для продажи в Китае выявлены факты отправки на серверы сбора телеметрии дополнительной информации, такой как номер телефона пользователя, статистика об использовании приложений, а также данные о местоположении, IMSI (индивидуальный номер абонента), ICCID (серийный номер SIM-карты) и окружающих точках беспроводного доступа. Дополнительно в устройствах Realme и OnePlus зафиксирована передача истории звонков и SMS.

В прошивках для общемирового рынка подобная активность не наблюдается за отдельными исключениями, например, устройства Realme отправляют MCC (код страны) и MNC (код мобильной сети), а Xiaomi Redmi - данные о подключённых Wi-Fi, IMSI и статистику об использовании приложений. Независимо от типа прошивки все устройства отправляют IMEI-идентификатор, список установленных приложений, версию ОС и параметры оборудования. Данные отправляются предустановленными производителем системными приложениями без получения согласия у пользователя, без уведомления об отправке и независимо от настроек конфиденциальности и отправки телеметрии.

В смартфоне Redmi данные отправляются на хост tracking.miui.com когда открыты и используются такие предустановленные производителем приложения, как Settings, Note, Recorder, Phone, Message и Camera, независимо от согласия пользователя с предложением отправки диагностических данных во время начальной настройки. На устройствах Realme и OnePlus данные отправляются на хосты log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com или aps.amap.com.

Из выявленных проблем также отмечается включение в поставку дополнительных сторонних приложений, которым по умолчанию предоставляются расширенные полномочия. Всего по сравнению с кодовой базой Android AOSP в каждой рассмотренной прошивке поставляется более 30 сторонних приложений, предустановленных производителем.