A mobilapplikációk biztonságát már számos kutatás elemezte a legapróbb részletekbe menően. A mobiltelefonok operációs rendszereire eközben jóval kevesebb figyelem jutott, miközben olyan szenzitív adatokat továbbítanak a fejlesztőikhez, amik alapján beazonosíthatóvá és mérhetővé válik a felhasználójuk.
Az Edinburghi Egyetem és a Dublini Trinity College kutató szakemberei Androidos Samsung, Xiaomi, Realme és Huawei eszközöket vizsgáltak, plusz két Android forkot (LineageOS és /e/OS), melyek a gyártói ígéret szerint “Google-mentesítettek”.
Arra jutottak, hogy e készülékek – az /e/OS kivételével – minimális konfiguráció és használat mellett is jelentős információmennyiséget továbbítanak az operációs rendszerek fejlesztői és olyan harmadik felek (Google, Microsoft, LinkedIn, Facebook, stb.) számára, akik előzetesen telepített rendszerapplikációkkal rendelkeznek.
Arra természetesen mindenki számított, hogy létezik egy alkalmankénti kommunikáció az OS szerverekkel, de az a továbbított adathalom, amit a szakemberek felfedeztek, messze túlmegy az indokolható és elfogadható mennyiségen. Ez pedig alapvető adatvédelmi kérdéseket vet fel. A helyzetet tovább súlyosbítja, hogy e készülékek esetén nincs lehetőség az adatgyűjtés letiltására.
Állandó azonosítók, alkalmazás-használati adatok és telemetriai információk is vannak a kiadott szenzitív adatok között. Az adatgyűjtő rendszer pedig az SSID, a SIM-kártya, az IMEI, az IP-cím vagy a helyzeti adatok alapján rögtön új azonosítót rendel az addig összegyűjtött adatokhoz, ha esetleg a felhasználó megpróbálta resetelni a hirdetési azonosítóit. A készülékek emellett részletesen rögzítik a felhasználók aktivitását és tevékenységeit, ami már jelentős megsértése a felhasználók magánéletének.
Az adatvédelmi kérdések mellett biztonságvédelmi kérdések is felvetődnek, hiszen a szakemberek azt látták, hogy a telefonokon található alkalmazások (miui.analytics – Xiaomi, Heytap – Realme, Hicloud – Huawei) olyan gyengén titkosítják csupán az adatokat, hogy azok felhasználhatók közbeéklődéses támadásokra.
A kutatók még nem teljesen látják, hogy az említetteken kívül pontosan milyen adatokat továbbítanak az operációs rendszerek a back-end szerverek felé, de azt valószínűsítik, hogy a böngészők és a Google Play Services gyakorlatához hasonló módon működnek.
Mivel a mobiltelefonok az üzleti élet elengedhetetlen részeivé váltak, sőt a magánéletünkben is állandó kísérőink, kifejezetten fontos, hogy rajtuk tárolt adataink, jelszavaink, fotóink, stb. biztonságban legyenek. A Kerubiel szakemberei megtalálhatók lesznek az INFOTÉR Konferencián október 19-21. között, és készséggel adnak tájékoztatást a mobiltelefonok adatvédelmi és biztonsági rendszereinek kialakításával kapcsolatban is.