近年中國 Android 手機硬體規格越來越強大,但是國外安全研究人員發出嚴重警告,別購買中國的 Android 手機,原因中國安卓手機內建太多預設應用程式,會在未經用戶允許或完全沒有跳出通知下,自動會將個人敏感資訊傳送到第三方伺服器上,導致個資外洩和遭受監控。
近期由兩名愛丁堡大學安全研究教授 Haoyu Liu 、Paul Patras 與柏林三一學院教授 Douglas Leith 聯合發表一份資安學術論文,主要是探討與分析中國最受歡迎知名三大 Android 手機品牌「小米、realme、OnePlus」預設應用程式安全性,該研究顯示這三款中國手機都存在個人隱私和資訊外洩風險,就算到保護更嚴謹的國家地區,同樣會被不停追蹤用戶使用行為與隱私。
三名大學教授兼任安全研究人員,利用安卓手機操作系統與預裝應用程式傳輸資料進行偵測,要是用戶選擇推出分析與個性化設定,不使用任何雲端儲存或可選的第三方服務,沒有在 Android 發行版開發人員運行或任何創建帳號,在沒有安裝第三方App 狀態下使用,似乎都無法逃離用戶行為被監控。
研究人員發現預設應用程式工具包含 Android AOSP、供應商程式碼和第三方軟體, 三大品牌手機,會讓系統預設強制安裝30多款第三方應用程式,包含小米 Redmi Note 11 百度輸入法、搜狗輸入法和科大訊飛和多種中文輸入法應用程式,而 OnePlus 9R 和 realme Q3 Pro 手機也會讓百度地圖和高德地圖持續在背景持續運行,中國 Android 手機韌體還會綑綁大量新聞、影片、線上購物等應用程式。
研究人員也進行深入分析,三大中國手機除了會向手機供應商傳送個人可識別資訊(PII)外,也會向百度等第三方服務和中國移動網路發送 PII 資訊,就算測試手機沒有插入 SIM 卡或沒連接行動網路狀態,系統同樣會持續向外發送 PII 訊息。
個人可識別資訊是指可以用來辨識、聯絡、定位單一人士,或加上一些輔助資訊後達成前述目的的資訊。除外安全研究論文中還提到,受檢測手機傳輸裝置與用戶個人隱私機密資料,包含:
- 永久性裝置識別碼(IMEI、MAC位址等)
- 位置識別碼(GPS 座標、行動網路 Cell ID 等)
- 用戶資訊(電話號碼、應用程式使用模式等)
- 通話簡訊資訊(通話/簡訊的通訊紀錄、聯絡人電話號碼)等
就連同打開手機設定、錄音機、電話、訊息和相機應用程式,中國 Android 手機也會自動向小米伺服器發送請求,就算用戶在啟動過程選擇停止發送使用情況與診斷回報,應用程式依舊會自動發出請求。
研究人員表示,這些個資洩露和跟蹤行為已經嚴重侵犯個人隱私權,中國會這樣做主要是電話號碼都會登記在每個公民身份證下,後續要追查也會更加容易。
就算直接將中國手機拿到其他國家地區使用,研究人員發現搜集隱私資料和行為跟蹤並不會減少或停止,這代表中國手機大廠和第三方應用服務,也能夠持續追蹤中國遊客和出國留學生,能追蹤和監控他們在國外位置、社交內容。
在預設應用程式安裝部分,中國 Android 發行版本系統預設安裝的第三方應用程式數量,相對比起國際版 Android 多出三到四倍,且應用程式第三方權限也高達八到十倍之多。
三名研究人員給出最後總結,從調查結果來看, Android 系統擁有全世界最龐大的用戶,但是系統用戶隱私保護設定如同虛設,很多用戶完全不知道自己被追蹤和資料外洩,這些需要靠受信任的科技公司來保護用戶隱私,可惜許多中國科技公司都與中國政府有關聯性,導致中國政府能夠全面監控與蒐集用戶各種資訊。
從研究報告能夠看出,中國當地販售 Android 安卓手機都可能存在安全疑慮,建議不要從中國當地或透過網拍購買中國版安卓手機來用,能才夠有效避免被監控、跟蹤和資料外洩問題。
延伸閱讀:
- 賈伯斯批Android 是竊取來的,工程師稱蘋果復仇計畫持續進行
- 多數Android 打算換iPhone 手機原因?市調揭露安全與隱私權是主因
- 【教學】換新iPhone?教你快速將Android資料移轉iOS裝置上
參考來源:theregister、arxiv
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。