研究发现中国 Android 手机收集了过量数据

研究发现中国Android手机收集了过量数据英国和爱尔兰大学的研究人员在预印本平台arXiv上发表研究报告《》，分析了一加、小米和OppoRealme手机上预装的系统应用软件，假定用户没有登陆，退出个性化和分析，没有使用任何云储存等第三方服务。这些手机预装了30多个第三方软件包，其中小米RedmiNote11预装了百度输入法、科大讯飞和搜狗输入法等，OnePlus9R和RealmeQ3Pro预装了百度地图和高德地图，此外还捆绑了各种新闻、视频和在线购物应用。研究人员发现，即使手机没有插入SIM卡或SIM卡属于不同运营商，手机仍然会向厂商、百度和中国移动网络运营商发送个人身份识别信息，传输的数据包括IMEI、MAC地址、GPS坐标、用户配置文件和社交联系（通话/短信历史/时间、联系电话号码等）。研究人员称，每当打开预安装设置、便签、录音机、电话、消息和相机应用时，小米的Redmi手机都会向tracking.miui.com/track/v4发送post请求，不管用户如何设置选择退出跟踪都会发送。研究人员注意到，国行版的Android手机预装第三方应用数量是其它国家Android手机系统的3-4倍。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

研究人员发现 Facebook 关闭定位仍可追踪用户状态

研究人员发现Facebook关闭定位仍可追踪用户状态据外媒报导，Facebook会利用智慧型手机加速度计（Accelerometer）追踪用户，借此判断用户一天某些时段行为或活动，该数据甚至可判断当下使用手机时是站着、走路或躺着。可怕的是，即使关闭追踪功能仍无法阻止Facebook透过手机加速度计偷取数据。安全专家TalalHajBakry与TommyMysk表示，Facebook过去一直透过智慧手机读取用户加速度计数据，就算用户不允许Facebook读取用户定位，Facebook仍有办法推敲出用户身处的位置：Facebook只要分组用户，在其他分组用户找到与你的手机加速度计震动模式相同的人，即可推敲出你现在可能在搭巴士或其他交通工具。除Facebook以外，研究人员亦调查了iMessage、Telegram、Signal、TikTok、微信等应用程式，这些应用程式都不会像Facebook、Instagram或WhatsApp收集用户加速度计数据。研究人员亦表明，目前完全没有任何方法阻止Facebook收集加速度计数据，不论是Facebook、Instagram、或WhatsApp都会借此方法搜集用户数据，唯一办法就是让iPhone用户直接卸载Facebook旗下应用程式。——Forbes

因担心安全和隐私 美国半数Android手机用户考虑换成iPhone

因担心安全和隐私美国半数Android手机用户考虑换成iPhoneBeyondIdentity进行了一次调查，由10003位美国用户参与，其中76%的苹果用户觉得iOS更安全。Android用户中，有74%的用户也有这样的想法，认为iOS更安全。因为担心安全和隐私问题，有49%的Android用户考虑升级为iPhone。此外，用户表示使用iPhone13Max感觉比三星GalaxyS22Ultra更安全。这次调查还包括云服务如何影响苹果和Android用户。20%的苹果iCloud钥匙串用户觉得极度安全，只有13%的Android用户觉得谷歌密码管理器极度安全。27%的苹果用户使用iCloud时觉得极度安全，谷歌Drive为22%。因为新发布的操作系统通常会包含一些全新的安全功能，调查显示33%的Android用户计划升级至iPhone，因为下个月iOS16正式版会发布。用户最喜欢的iOS16安全功能就是全新锁定Lockdown模式。调查中还发现，iPhone用户更重视安全功能，通常会使用6位锁屏码，而不是4位。PC版：https://www.cnbeta.com/articles/soft/1305317.htm手机版：https://m.cnbeta.com/view/1305317.htm

芯片巨头高通的隐蔽后门被发现，私密收集用户数据

芯片巨头高通的隐蔽后门被发现，私密收集用户数据德国安全公司NitroKey发布了一份报告，指出在不需要安卓操作系统参与的情况下，带有高通芯片的智能手机会秘密向高通发送个人数据，而且这些数据将会被上传至高通部署在美国的服务器上。令人惊讶的是，这些数据是在未经用户同意、未加密的情况下发送的，甚至在使用无谷歌的Android发行版时也是如此。其原因大概是提供硬件支持的专有Qualcomm软件也会发送数据。受影响的智能手机包括绝大部分使用高通芯片的Android手机以及部分苹果手机。对于该报告的内容，高通表示确实存在数据传输行为，但否认私自收集用户隐私信息，强调该行为符合XTRA服务隐私政策。至于全球用户数据上传至美国，是否涉及国家安全，这些信息是否可能会被政府机构或间谍组织利用，高通的解释难以让用户信服。只要这些数据会上传至美国，那么就一定会存在上述的安全风险。NitroKey安全研究人员使用了一款去谷歌安卓手机来进行这项实验，手机型号是SonyXperiaXA2，以排除手机操作系统的影响（毕竟谷歌有着强大的位置追踪功能）。在实验测试过程中，安全研究人员使用的是一个去谷歌搜索的安卓开源版本——/e/OS，它以隐私为中心，严格保护用户数据，毕竟/e/OS一直吹嘘它们绝不会跟踪用户位置信息，也不会向第三方出售用户数据。/e/OS操作系统是一个以隐私为导向的去谷歌化的移动操作系统，是LineageOS的复刻，由MandrakeLinux（现在的MandrivaLinux）的创建者GaëlDuval在2018年创立。在SonyXperiaXA2智能手机上安装了/e/OS后，手机启动进入/e/OS设置向导后依旧会索要GPS定位服务的权限，但安全人员故意将其关闭，以免干扰实验的准确性。安全研究人员也没有在手机中放置SIM卡，因此它只能通过我们使用Wireshark监控的WIFI网络发送和接收数据。Wireshark是一种专业的软件工具，它使我们能够监控和分析通过网络发送的所有流量。在完成设置连上wifi后，路由器为/e/OSde-Googled手机分配了一个本地IP地址，并且开始生成流量。第一个DNS请求却是来自谷歌：[2022-05-12 22:36:34] android.clients.google.com[2022-05-12 22:36:34]connectivity.ecloud.global这也就意味着，去谷歌手机的第一个连接是google.com，这大大超出了安全研究人员的预期。根据Google的说法，主机android.clients.google.com为GooglePlay商店提供定期设备注册、定位、搜索应用程序和许多其他功能，但这些功能却没有在实验手机上。经过仔细分析后发现，该DNS请求来自microG，一个开源的重新实现谷歌专有核心库和应用程序。接下来，它连接到connectivity.ecloud.global，由于安装了/e/OS操作系统，因此取代了Android的Google服务器连接检查connectivitycheck.gstatic.com。随后，安全研究人员又发现了以下通信信息：[2022-05-12 22:36:36]izatcloud.net[2022-05-12 22:36:37]izatcloud.net通过查询后发现，izatcloud.net域属于一家名为QualcommTechnologies,Inc.的公司，也就是芯片巨头高通。高通正在悄悄收集用户的信息似乎已经被实锤，并且将这些信息正在上传至高通服务器。进一步调查后，安全研究人员发现这些数据包竟然都是通过不安全的HTTP协议发送，没有使用HTTPS、SSL或TLS进行加密。这意味着网络上的任何其他人，包括黑客、政府机构、网络管理员、本地和外国的电信运营商在内，都可以收集这些数据、存储它们并使用手机的唯一ID和序列号建立记录历史，以此轻松监视手机用户。索尼、Android或/e/OS的服务条款中均未提及与高通的数据共享，因此，高通公司不断向他们神秘的IzatCloud发送数据的行为，是其独家行为，且未经用户同意。NitroKey安全研究人员认为，未经同意收集用户数据违反了通用数据保护条例(GDPR)，并就此事联系了高通的法律顾问。对此，高通法律顾问称，该数据收集符合QualcommXtra隐私政策，并且他们向我们分享了XTRA服务隐私政策的链接。高通似乎一直喜欢保持神秘，不仅IzatCloud知道的人少，XTRAService也是如此，更别提该服务的隐私政策了。“通过软件、应用程序，我们可能会收集位置数据、唯一标识符（例如芯片组序列号或国际用户ID）、有关设备上安装和/或运行的应用程序数据、配置数据（例如手机品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据，例如芯片组性能、电池使用情况和热数据。我们还可能从第三方来源获取个人数据，例如数据经纪人、社交网络、其他合作伙伴或公共来源。”但是他们没有提到IP地址，实际情况是他们很可能也收集了IP地址。在NitroKey安全研究完成后，高通更新了隐私政策，并补充也会收集设备的IP地址。另外他们还添加了他们将此数据存储90天以用于“质量目的”的信息。这里列出了高通可能根据其隐私政策从用户手机收集的数据：唯一身份芯片组名称芯片组序列号XTRA软件版本移动国家代码移动网络代码（允许识别国家和无线运营商）操作系统类型和版本设备品牌和型号自上次启动应用程序处理器和调制解调器以来的时间设备上的软件列表IP地址随着研究的深入，我们发现Qualcomm的“XTRA服务”提供辅助GPS(A-GPS)，并有助于为移动设备提供准确的卫星定位。高通的专有软件不仅会下载一些文件到用户手机，以帮助更快地建立GPS位置，还会上传我们的个人数据，例如设备的唯一ID、国家代码、手机运营商代码（允许识别国家和移动运营商）、操作系统和版本以及设备上的软件列表。高通收集大量敏感数据并通过不安全和过时的HTTP协议传输的事实表明，他们并不关心用户的隐私和安全。这里无需推测高通是否与各种政府部门、间谍机构合作，但当流量也可能被独裁者以及其他不需要与高通合作的压制性政府拦截时，将会产生难以预料的风险。毕竟，无人机也经常使用位置信息来瞄准人。在某些情况下，可以通过位置信息来执行对个人的绑架或暗杀。比如伊朗抗议者，不就因为其智能手机位置暴露了而被逮捕，有时候用户甚至都不知道，对方便拿走了我们的隐私。频道：@TestFlightCN

研究认为苹果产品界面的设计方式让用户很难完全阻止它收集数据

研究认为苹果产品界面的设计方式让用户很难完全阻止它收集数据阿尔托大学（AaltoUniversity）的研究称，即使用户尝试禁用这些应用程序，苹果的默认应用程序仍在收集用户数据，而要正确完成这项任务几乎是不可能的。研究人员分析了八个"应用程序"，特别是Safari、Siri、iMessage、FaceTime和"查找我的"，以及"家庭共享"、"定位服务"和TouchID的设置。研究人员从技术文档和隐私政策中收集了与隐私相关的公开信息进行分析。副教授JanneLindqvist说，由于用户界面的设计方式，用户"不知道发生了什么"。例如，用户可以选择启用Siri。但这一选项只能开启Siri的语音控制功能，无论用户如何选择，Siri仍会在后台收集数据。用户必须进入设置并在其中进行更改才能停止该行为，而该提示似乎提供了这样的功能，但实际上并没有执行。报告认为，限制数据访问的说明"非常复杂和混乱"，步骤分散在各种在线文档中，没有提供任何明确的指导。这些说明也没有提供所有必要的步骤，并且拒绝解释苹果公司如何处理收集到的数据。为了证明这对用户来说很困难，志愿者接受了采访，并被要求更改设置。虽然没有人能够完全按照说明操作，阻止数据收集，但他们还是朝着正确的方向采取了措施。还有人抱怨说，在处理隐私设置时，用户没有得到是否成功禁用数据收集的反馈。据称，研究参与者在操作过程中有时会走回头路，有时不得不上下来回甚至盲目滚动来寻找灵感。虽然很难阻止苹果公司自己的数据收集，但研究人员也无法确切知道苹果公司在许多情况下对收集到的数据做了什么。在未能从公开文件中找到明确答案后，林德奎斯特提出，这些数据很可能被用于训练Siri等服务的机器学习系统，或提供更加个性化的用户体验。这位教授认为，用户已经习惯了无缝的多设备互动，因此很难再回到与公司共享数据较为有限的时代。即便如此，Lindqvist认为苹果公司还可以做得更好，让用户更清楚地知道收集了哪些数据以及数据的用途。为了避免某些应用程序收集数据，报告提出用户可以使用第三方应用程序，这些应用程序在iOS系统上面临的数据收集规则比苹果公司本身遵守的规则更严格。批评苹果公司的人过去就发现了这一点，并因此引发了多起诉讼。苹果公司此前曾公开承认，它收集用户数据是为了给自己的服务带来好处，多年来一直如此。不过，苹果通常会尽量减少收集的数据量，并尽可能对数据进行匿名处理。...PC版：https://www.cnbeta.com.tw/articles/soft/1426933.htm手机版：https://m.cnbeta.com.tw/view/1426933.htm

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞

多伦多大学研究员发现，搜狗输入法存在隐私风险与安全漏洞来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞，研究员通过对软件的Windows、Android和iOS版本进行分析，发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括CBCpaddingoracle攻击漏洞，这使得网络窃听者能够恢复加密网络传输的明文。研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器，上传过程中包含的敏感数据（例如用户按键的数据）的网络传输可以根据漏洞被网络窃听者破译，从而会暴露用户在按键输入时键入的内容。研究员向搜狗开发人员披露了这些漏洞后，搜狗已于2023年7月20日发布了受影响软件的修复版本（Windows版本13.7、Android版本11.26和iOS版本11.25）。——