Pages

Tuesday, 28 February 2023

研究指中国手机无论身在何处使用均泄露大量用户资讯

来源: 
美国之音

中国流行使用安卓(Android)系统智能电话,但有学者发现,部分中国品牌在中国国内发售的版本有安全隐忧,因此呼吁用户要注意,考虑采用阻挡讯息流出的措施。

一项新研究发现,三家中国品牌在中国境内发售的安卓系统手提电话会在用户不知道的情况下,向中国多地发送“惊人数量的”用户资讯,而即使用户在外地使用这些电话,相关的资讯流出亦未有停止。

该研究由爱丁堡大学(University of Edinburgh)和都柏林圣三一学院(Trinity College Dublin)的学者进行。爱丁堡大学讯息学学者帕特拉斯(Paul Patras)对美国之音说,中国拥有全世界最大的安卓电话用户量,于是决定研究三款在中国流行的电话,包括Xiaomi(小米)的Redmi Note 11、OnePlus(一加)的9R,和Realme(真我)品牌旗下的Q3Pro。

他说:“我们的研究发现,对比举例说为欧洲市场制造的电话,为中国市场制造的电话会披露大约三至四倍的资讯,而用户没有能力退出。你可以说,单独来看,有些资讯对使用一些服务是必要的,例如供应商需要知道应用程式和系统的版本来提供软件更新,又或是一个地图程式需要知道用户在哪裹才能提供与地点相关的服务。但我们觉得奇怪的是,不少服务抽取不少种类的资讯,加起来就会透露个别用户过多的资讯,构成隐私流出问题。”

中国版本电话发送大量资讯

帕特拉斯说,用户不能在电话上得知什么资讯有被流出,研究员需要使用中间代理人技术(Man-in-the-Middle Proxy)截取电话发出的讯息并作解读。这项研究观察四种资讯有否被流出,包括系统资讯、地点资讯、用户个人资讯以及社会关系资讯。涵盖电话编号、全球定位系统资讯(GPS)、接驳过的及邻近的Wi-Fi伺服站、电话号码、有什么应用程式及使用情况、通话及短讯纪录等等。

他说:“这些资讯可能会被利用作不道德用途。例如,你有特定的宗教信仰或性取向,并使用相关的应用程式,例如穆斯林利用作祈祷,或你不是异性恋者,并使用一些交友软件。我认为这些都是十分私人的资讯,我们不会希望电话系统向任何人披露这些资料。”

帕特拉斯指,中国的电话号码是一个半永久的身分标识符,政府很容易透过电话号码辩认用户身份。他说,大部分的资讯会被送到一些在北京的伺服器,很多地点资讯会被送到在杭州的伺服器,其他资讯则被送到广州、西安、深圳以及南京。

资讯在海外被传送到中国联通

他又说:“有一项我们觉得有点可疑的是,这些电话安装了中国联通(China Unicom)的软体开发套件 (Software development kit,SDK),假设你把这些电话带到英国,使用英国的电话卡,该软体开发套件仍会继续运作,并会发送资讯到中国联通。我们不知道这些资讯会有什么用途,但这些资讯在用户不知情下被发送,是有点令人担心。”

帕特拉斯说,研究员无从得知中国厂商为什么会这样做,他们有向三家厂商查询,只有“真我”品牌有回覆说,重视用户私隐,用户有权退出(opt-out)。帕特拉斯说,这个说法与研究发现并不相符。

不过,帕特拉斯也指出,中国厂商在中国境外发售的电话会“大体上配合”当地的保障私隐法律,例如是欧盟的“一般资料保护规则”(General Data Protection Regulation,GDPR)。若果用户使用研究中的“小米”和“真我”电话的欧洲版本,这些电话就不会发送通话及短讯纪录。

“用户没有太多选择”

帕特拉斯说,用户可以尝试更改电话的系统,但他提醒用户这种做法有可能会令电话受损。用户亦可以安装阻止电话发送资讯的应用程式,但中国用户不能使用安卓系统的Google Play 商店,或会让他们难以获得相关的应用程式。他说,更重要的是用户对于私隐有更大的关注度。

他指,美国一些州份、加拿大及韩国有相关的私隐法例保障用户,但关键是执法究竟有多严格。

他说:“我们无法避免使用手提电话,我们依赖它们,放很多资料进去,所以除非有法律更严格地规定什么资讯可以被收集,我恐怕用户没有太多选择。”


from 博谈网 https://botanwang.com/articles/202303/%E7%A0%94%E7%A9%B6%E6%8C%87%E4%B8%AD%E5%9B%BD%E6%89%8B%E6%9C%BA%E6%97%A0%E8%AE%BA%E8%BA%AB%E5%9C%A8%E4%BD%95%E5%A4%84%E4%BD%BF%E7%94%A8%E5%9D%87%E6%B3%84%E9%9C%B2%E5%A4%A7%E9%87%8F%E7%94%A8%E6%88%B7%E8%B5%84%E8%AE%AF.html