研究表明 Android 手机不断窥探用户隐私

研究表明Android手机不断窥探用户隐私英国大学研究人员进行的一项新研究揭示了使用Android智能手机引起的一系列隐私问题。研究人员专注于三星、小米、Realme和华为Android设备，以及LineageOS和/e/OS，这两个Android分支旨在提供长期支持和去谷歌体验。这项研究的结果令绝大多数Android用户感到担忧。除了/e/OS，其他OS即使在最低配置且手机处于空闲状态时，这些供应商定制的Android变体也会向操作系统开发人员以及第三方（谷歌、微软、LinkedIn、Facebook等）传输大量信息。需要注意的是，这涉及无法选择退出的数据收集，因此Android用户对此类遥测无能为力。当智能手机供应商包含第三方应用程序时，即使设备所有者不使用这些应用程序也会默默收集数据，并且无法卸载，这一点尤其令人担忧。对于miui.analytics（小米）、Heytap（Realme）、Hicloud（华为）等一些内置系统应用，研究人员发现加密数据有时可以被解码，使数据面临人为风险—-中间人（MitM）攻击。正如研究指出的那样，即使用户在Android上重置其Google帐户的广告标识符，数据收集系统也可以轻松地将新ID重新链接回同一设备并将其附加到原始跟踪历史记录中。使用各种方法对用户进行去匿名化，例如查看SIM、IMEI、位置数据历史记录、IP地址、网络SSID或这些方法的组合。https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf——privacyshow，都柏林圣三一学院

［安全: 小米手机发现漏洞允许远程安装恶意程序］

［安全:小米手机发现漏洞允许远程安装恶意程序］小米开发的Android定制系统MIUI发现了一个高危漏洞，允许中间人攻击者在目标设备上以系统权限远程执行任意代码。小米已经释出了修正版本，推荐用户立即升级。发现漏洞的IBM研究人员公布了漏洞的细节：漏洞存在于MIUI的分析包中，使用该分析包的应用都易被中间人远程执行代码，研究人员在包括内置浏览器在内的多个应用中发现了漏洞，如果应用有系统级权限，那么攻击者就能以系统级权限执行代码。漏洞存在的主要原因是MIUI的应用升级是通过HTTP连接。https://securityintelligence.com/remote-code-execution-in-xiaomi-miui-analytics/

小米国际版手机 GetApps 应用商店正在分发被恶意修改的 Telegram 客户端

小米国际版手机GetApps应用商店正在分发被恶意修改的Telegram客户端小米国际版手机上预装的GetApps应用商店正在传播Telegram客户端的恶意修改版。一些用户报告称，他们购买的小米手机上预装了恶意版本。从GetApps下载的Telegram会显示可疑的图标，这些图标邀请用户参与抽奖，并声称有用户赢得了现金奖励。此外，用户报告说，一段时间后，App可能会意外终止会话，用户必须重新登录帐户。——

微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量Android应用https://www.ithome.com/0/765/873.htm“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定URI附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（customintents，Android应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。攻击者利用“DirtyStream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。微软的研究表明，此漏洞并非个例，研究人员发现许多流行的Android应用都存在内容提供程序系统实现不当的问题。例如，拥有超过10亿安装量的小米文件管理器和拥有约5亿安装量的WPSOffice都存在此漏洞。

芯片巨头高通的隐蔽后门被发现，私密收集用户数据

芯片巨头高通的隐蔽后门被发现，私密收集用户数据德国安全公司NitroKey发布了一份报告，指出在不需要安卓操作系统参与的情况下，带有高通芯片的智能手机会秘密向高通发送个人数据，而且这些数据将会被上传至高通部署在美国的服务器上。令人惊讶的是，这些数据是在未经用户同意、未加密的情况下发送的，甚至在使用无谷歌的Android发行版时也是如此。其原因大概是提供硬件支持的专有Qualcomm软件也会发送数据。受影响的智能手机包括绝大部分使用高通芯片的Android手机以及部分苹果手机。对于该报告的内容，高通表示确实存在数据传输行为，但否认私自收集用户隐私信息，强调该行为符合XTRA服务隐私政策。至于全球用户数据上传至美国，是否涉及国家安全，这些信息是否可能会被政府机构或间谍组织利用，高通的解释难以让用户信服。只要这些数据会上传至美国，那么就一定会存在上述的安全风险。NitroKey安全研究人员使用了一款去谷歌安卓手机来进行这项实验，手机型号是SonyXperiaXA2，以排除手机操作系统的影响（毕竟谷歌有着强大的位置追踪功能）。在实验测试过程中，安全研究人员使用的是一个去谷歌搜索的安卓开源版本——/e/OS，它以隐私为中心，严格保护用户数据，毕竟/e/OS一直吹嘘它们绝不会跟踪用户位置信息，也不会向第三方出售用户数据。/e/OS操作系统是一个以隐私为导向的去谷歌化的移动操作系统，是LineageOS的复刻，由MandrakeLinux（现在的MandrivaLinux）的创建者GaëlDuval在2018年创立。在SonyXperiaXA2智能手机上安装了/e/OS后，手机启动进入/e/OS设置向导后依旧会索要GPS定位服务的权限，但安全人员故意将其关闭，以免干扰实验的准确性。安全研究人员也没有在手机中放置SIM卡，因此它只能通过我们使用Wireshark监控的WIFI网络发送和接收数据。Wireshark是一种专业的软件工具，它使我们能够监控和分析通过网络发送的所有流量。在完成设置连上wifi后，路由器为/e/OSde-Googled手机分配了一个本地IP地址，并且开始生成流量。第一个DNS请求却是来自谷歌：[2022-05-12 22:36:34] android.clients.google.com[2022-05-12 22:36:34]connectivity.ecloud.global这也就意味着，去谷歌手机的第一个连接是google.com，这大大超出了安全研究人员的预期。根据Google的说法，主机android.clients.google.com为GooglePlay商店提供定期设备注册、定位、搜索应用程序和许多其他功能，但这些功能却没有在实验手机上。经过仔细分析后发现，该DNS请求来自microG，一个开源的重新实现谷歌专有核心库和应用程序。接下来，它连接到connectivity.ecloud.global，由于安装了/e/OS操作系统，因此取代了Android的Google服务器连接检查connectivitycheck.gstatic.com。随后，安全研究人员又发现了以下通信信息：[2022-05-12 22:36:36]izatcloud.net[2022-05-12 22:36:37]izatcloud.net通过查询后发现，izatcloud.net域属于一家名为QualcommTechnologies,Inc.的公司，也就是芯片巨头高通。高通正在悄悄收集用户的信息似乎已经被实锤，并且将这些信息正在上传至高通服务器。进一步调查后，安全研究人员发现这些数据包竟然都是通过不安全的HTTP协议发送，没有使用HTTPS、SSL或TLS进行加密。这意味着网络上的任何其他人，包括黑客、政府机构、网络管理员、本地和外国的电信运营商在内，都可以收集这些数据、存储它们并使用手机的唯一ID和序列号建立记录历史，以此轻松监视手机用户。索尼、Android或/e/OS的服务条款中均未提及与高通的数据共享，因此，高通公司不断向他们神秘的IzatCloud发送数据的行为，是其独家行为，且未经用户同意。NitroKey安全研究人员认为，未经同意收集用户数据违反了通用数据保护条例(GDPR)，并就此事联系了高通的法律顾问。对此，高通法律顾问称，该数据收集符合QualcommXtra隐私政策，并且他们向我们分享了XTRA服务隐私政策的链接。高通似乎一直喜欢保持神秘，不仅IzatCloud知道的人少，XTRAService也是如此，更别提该服务的隐私政策了。“通过软件、应用程序，我们可能会收集位置数据、唯一标识符（例如芯片组序列号或国际用户ID）、有关设备上安装和/或运行的应用程序数据、配置数据（例如手机品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据，例如芯片组性能、电池使用情况和热数据。我们还可能从第三方来源获取个人数据，例如数据经纪人、社交网络、其他合作伙伴或公共来源。”但是他们没有提到IP地址，实际情况是他们很可能也收集了IP地址。在NitroKey安全研究完成后，高通更新了隐私政策，并补充也会收集设备的IP地址。另外他们还添加了他们将此数据存储90天以用于“质量目的”的信息。这里列出了高通可能根据其隐私政策从用户手机收集的数据：唯一身份芯片组名称芯片组序列号XTRA软件版本移动国家代码移动网络代码（允许识别国家和无线运营商）操作系统类型和版本设备品牌和型号自上次启动应用程序处理器和调制解调器以来的时间设备上的软件列表IP地址随着研究的深入，我们发现Qualcomm的“XTRA服务”提供辅助GPS(A-GPS)，并有助于为移动设备提供准确的卫星定位。高通的专有软件不仅会下载一些文件到用户手机，以帮助更快地建立GPS位置，还会上传我们的个人数据，例如设备的唯一ID、国家代码、手机运营商代码（允许识别国家和移动运营商）、操作系统和版本以及设备上的软件列表。高通收集大量敏感数据并通过不安全和过时的HTTP协议传输的事实表明，他们并不关心用户的隐私和安全。这里无需推测高通是否与各种政府部门、间谍机构合作，但当流量也可能被独裁者以及其他不需要与高通合作的压制性政府拦截时，将会产生难以预料的风险。毕竟，无人机也经常使用位置信息来瞄准人。在某些情况下，可以通过位置信息来执行对个人的绑架或暗杀。比如伊朗抗议者，不就因为其智能手机位置暴露了而被逮捕，有时候用户甚至都不知道，对方便拿走了我们的隐私。频道：@TestFlightCN

谷歌 Android 13 新规，少于 2GB 内存的手机不能预装 GMS

谷歌 Android13新规，少于2GB内存的手机不能预装GMS谷歌在其安卓开发者博客上宣布（通过MishaalRahman），从Android13系统开始，智能手机将需要至少2GB的内存和16GB的存储空间才能预装谷歌移动服（GMS）。即使是对AndroidGo设备的要求也是如此，这些设备通常内存很少。内存小于2GB的新设备不能预装GMS，并且目前运行Android12但不符合上述要求的设备无法升级到Android13。