Исследователи выяснили, что смартфоны активно предоставляют информацию о пользователях третьим лицам.
Исследователи из Эдинбургского университета Великобритании и Тринити-колледжа в Ирландии Хаою Лю, Пол Патрас и Дуглас Дж. Лейт выяснили, что Android-смартфоны Samsung, Xiaomi, Realme и Huawei отслеживают активность пользователей.

«Устройства на системе Android (LineageOS) передают значительные объемы информации разработчику операционной системы, а также третьим лицам (Google, Microsoft, LinkedIn, Facebook и так далее)», — говорится в опубликованном 6 октября исследовании.
Исследователи определили, что модели с ОС на открытом исходном коде Android способствуют вредоносному поведению и предоставлению доступа к конфиденциальным данным без согласия пользователя, в то время как создаются потенциальные отношения между производителями, сетью операторов и третьей стороной. Утечка конфиденциальности из-за неправильного использования межкомпонентных коммуникациях (ICC) в приложениях Android задокументирована.
Эксперты полагают, что большая часть вины за это ложится на так называемые системные приложения, которые предварительно устанавливаются производителем.
Например исследователи обнаружили, что обычно несколько сторон собирают данные из телефона. Как-то, на телефонах Samsung Google и Microsoft / LinkedIn собирают данные. Это поднимает вопрос о том, собираются ли данные отдельно или эти стороны могут быть связаны вместе (и, конечно, объединены с данными из других источников). Пока учёные не в состоянии узнать, действительно ли такое связывание имеет место, путем проверки идентификаторов, совместно собранных сторонами, но уже видно, что существует потенциал для такого связывания данных.
Отдельно нужно отметить, что объём данных, загружаемых в Google значительно больше, чем объем загруженных данных другими получателями.
Определено, что телефон также может быть привязан к личности человека, когда собираются данные, позволяющие установить их личность или угадать с большой вероятностью. Это можно выяснить например по изучению пути следования пользователя через историю местоположения телефона. Многие исследования показали, что данные о местоположении, связанные с течением времени, могут быть использованы для деанонимизировать пользователей. Этот неудивительно, так как, например, знание работы и домашние местоположения пользователя могут быть выведены из такого местоположения данные (на основе того, где пользователь в основном проводит время днем и вечером), а в сочетании с другими данными это информация может быстро стать весьма показательной. Стоит отметить, что каждый раз, когда телефонный аппарат подключается к конечному серверу, он обязательно показывает свой IP-адрес, который действует как приблизительный прокси для, определения местоположения пользователя через существующие сервисы geoIP.
Представитель Google выразил уважение авторам исследования. Однако он пояснил, что сбор данных необходим для работы основных сервисов устройств.
В начале сентября этого года немецкая компания Nitrokey представила смартфон NitroPhone 1, на котором все приложения запускаются в изолированной среде. Данное мобильное устройство не предоставляет данные о пользователе даже Google, хотя и работает на Android.
Статья подготовлена специалистами
Управления защиты информации, кибербезопасности и конфиденциальности данных
при Департаменте безопасности ИАА «Аналитикос»