Разделы

Безопасность Пользователю Техника

Любимые россиянами смартфоны Xiaomi и Realme оказались инструментом тотальной слежки

Смартфоны востребованных в России китайских брендов неустанно следят за пользователями. Детальнейшая информация о них отправляется производителям устройств и разработчикам приложений. Часть данных могут раскрыть личность пользователя и указать на его местоположение.

Персональный карманный шпион

Смартфоны китайских компаний OnePlus, Xiaomi, Oppo и Realme следят за своими владельцами в режиме 24/7, пишет The Register. Они собирают внушительные массивы данных и отсылают их третьим лицам не просто без согласия пользователя, но и вовсе без каких-либо уведомлений и предупреждений.

Дело касается в первую очередь смартфонов, предназначенных для внутреннего рынка Китая, показало совместное исследование специалистов из Великобритании и Ирландии. Однако даже если купить телефон в Китае и затем выехать с ним за пределы КНР, слежка не прекратится.

Это означает, что смартфоны OnePlus, Xiaomi, Oppo и Realme будут собирать информацию, в том числе, и о гражданах других государств. В этом плане особая угроза утечки персональных данных висит над россиянами, поскольку для них покупка смартфона любого из перечисленных брендов почти в китайских интернет-магазинах всегда обходится существенно дешевле приобретения их в российской рознице. Это особенно сильно заметно на примере моделей Xiaomi Redmi 10 и Realme 9i – их официальные версии при пересечении российской границы очень резко и притом безосновательно прибавляют в цене.

Миллионы россиян ежедневно пользуются устройствами, втихую сливающими информацию о них в Поднебесную, и даже не догадываются об этом

Для России, в целом, это особенно актуально, поскольку в стране нет отечественных производителей Android-смартфонов, как и местных оболочек для этой ОС. К тому же на фоне всем известных событий из страны ушли все крупные производители смартфонов, кроме китайских. Например, устройства Apple и Samsung теперь импортируются в Россию только на условиях параллельного импорта.

Всему виной «мусорное» ПО

Все подробности своего исследования группа ученых раскрыла в статье под названием «Конфиденциальность ОС Android под лупой – восточная сказка» (Android OS Privacy Under the Loupe – A Tale from the East). Они подробнейшим образом изучили работу предустановленных и системных приложений на устройствах OnePlus, Xiaomi, Oppo и Realme, симулировав ситуацию, когда пользователь купил смартфон одной из этих марок и принципиально пользуется только комплектным ПО, не заводя при этом учетную запись в облачном сервисе производителя устройства (например, в Xiaomi Cloud).

Специалисты подсчитали, что китайские смартфоны поставляются, в среднем, более с 30 предустановленными сторонними приложениями. Многие из них отвечают за ввод текста – в популярном в России Xiaomi Redmi Note 11 это Baidu Input, IflyTek Input и Sogou Input на Xiaomi Redmi Note 11. а в телефонах OnePlus 9R и Realme Q3 Pro есть утилита Baidu Map, установленная в качестве основного навигатора, и программа AMap, которая постоянно работает в фоновом режиме. Кроме того, в китайскую прошивку встроены различные приложения для новостей, потокового видео и онлайн-покупок.

Доказательство слежки

Исследователи убедились, что все эти программы аккумулируют информацию о пользователе и затем отсылают ее не только производителю устройства, но и разработчикам ПО. Часть данных может помочь идентифицировать пользователя и даже определить сравнительно точное его местоположение.

По словам исследователей, приложения сливают IMEI и MAC-адрес устройства, идентификаторы местоположения (координаты GPS, идентификатор соты мобильной сети и т. д.), профили пользователей (номер телефона, шаблоны использования приложений, телеметрия приложений), и социальные связи (история звонков/смс/время, контактные номера телефонов и т. д.). Притом отправка данных происходит, даже если в телефоне нет SIM-карты. Установка SIM-карты оператора из другой страны никак не решает проблему.

Например, исследователи утверждают, что телефон Redmi отправляет запросы на URL-адрес tracking.miui.com/track/v4 всякий раз, когда открываются и используются предустановленные приложения «Настройки», «Заметка», «Рекордер», «Телефон», «Сообщение» и «Камера».

«В совокупности эта информация создает серьезные риски деанонимизации пользователей и обширного отслеживания, особенно с учетом того, что в Китае каждый номер телефона зарегистрирован под идентификатором гражданина», – говорится в статье.

Смена геолокации – не панацея

Исследователи утверждают, что повальный сбор данных о пользователях смартфонами популярных китайских брендов даже и не думает прекращаться, когда устройства покидают территорию Китай. Эксперты отметили, что это позволяет разработчикам устройств и приложений отслеживать китайских путешественников и студентов за границей и узнавать информацию об их зарубежных контактах.

Три составляющие кибербезопасности: технологии, процессы, аналитика
безопасность

Еще один вывод исследователей заключается в том, что в китайских дистрибутивах Android предустановленных сторонних приложений в три-четыре раза больше, чем в базовом Android из других стран. И эти приложения получают в 8-10 раз больше разрешений для сторонних приложений по сравнению с дистрибутивами Android, разработанными за пределами Китая.

«В целом, наши результаты рисуют тревожную картину состояния конфиденциальности пользовательских данных на крупнейшем в мире рынке Android и подчеркивают обязательную необходимость более жесткого контроля конфиденциальности для повышения доверия простых людей к технологическим компаниям, многие из которых частично принадлежат государству», — подытожили исследователи.

Евгений Черкесов