พบว่ามอนิเตอร์แบตเตอรี่รถยนต์แบบบลูทูธกำลังดึงข้อมูลตำแหน่งออกไป

 (doubleagent.net)
2 คะแนน โดย GN⁺ 2023-06-27 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มอนิเตอร์แบตเตอรี่รถยนต์ที่มีฟังก์ชันบลูทูธจะบันทึกแรงดันแบตเตอรี่ พร้อมทั้งเก็บพิกัด GPS ข้อมูลเสาสัญญาณมือถือ และบีคอน Wi‑Fi ใกล้เคียง แล้วส่งไปยังเซิร์ฟเวอร์ในฮ่องกงและจีนแผ่นดินใหญ่
  • แอป Android ต้องขอสิทธิ์เข้าถึงตำแหน่งเพื่อใช้งานอุปกรณ์ฮาร์ดแวร์ ทำให้ผู้ใช้ต้องกระจายตำแหน่งทางกายภาพของตนให้บุคคลที่สามอย่างต่อเนื่องเพื่อจะใช้ผลิตภัณฑ์นี้ได้
  • ในแอปสโตร์มีการระบุว่าไม่มีการเก็บหรือแชร์ข้อมูลส่วนบุคคล ซึ่งเป็นการทำให้ผู้บริโภคเข้าใจผิด
  • เนื่องจากไม่มีเหตุผลอันสมควรที่แอปมอนิเตอร์แบตเตอรี่รถยนต์ต้องติดตามตำแหน่งของผู้ใช้ จึงก่อให้เกิดข้อกังวลด้านความเป็นส่วนตัวอย่างร้ายแรง
  • ผลิตภัณฑ์นี้มียอดดาวน์โหลดมากกว่า 100,000 ครั้งบน Android เพียงแพลตฟอร์มเดียว
  • ไลบรารีฝังตัวที่ใช้คือ AMap ซึ่งเป็นหนึ่งในผู้ให้บริการแผนที่ดิจิทัลรายใหญ่ของจีน และมีส่วนร่วมบางส่วนกับการเก็บข้อมูลในวงกว้าง
  • AMap SDK จะเก็บพิกัด GPS ข้อมูลตำแหน่งของเสาสัญญาณมือถือที่อยู่ติดกัน และจุดเชื่อมต่อ Wi‑Fi โดยในตอนที่ 2 ของซีรีส์ ผู้เขียนจะสำรวจว่า AMap เก็บข้อมูลเหล่านี้อย่างไร
  • ฮาร์ดแวร์นั้นเรียบง่าย ต้องจับคู่กับสมาร์ตโฟน และแอปที่จำเป็นจะทำงานอยู่เบื้องหลังเพื่อเปลี่ยนสมาร์ตโฟนให้กลายเป็นอุปกรณ์สแกนตำแหน่ง
  • แอป Android ต้องใช้สิทธิ์เข้าถึงตำแหน่งเพื่อรับข้อมูลตำแหน่ง และเวอร์ชัน iOS ก็ส่งข้อมูลตำแหน่งไปยังเซิร์ฟเวอร์ระยะไกลเช่นกัน
  • ใช้ Mitmproxy เพื่อดักจับทราฟฟิกเครือข่าย และใช้ Frida สำหรับการวิเคราะห์แบบไดนามิกและการวิเคราะห์หน่วยความจำ
  • แอปถูกแพ็กด้วยซอฟต์แวร์แพ็กเกอร์เชิงพาณิชย์ชื่อ qihoo.util ทำให้การถอดรหัส Java bytecode จาก APK โดยตรงเป็นเรื่องยาก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-06-27
ความเห็นบน Hacker News
  • แอปมอนิเตอร์แบตเตอรี่รถยนต์ผ่าน Bluetooth ที่ถูกดาวน์โหลดจาก Google Play มากกว่า 100,000 ครั้ง กำลังส่งข้อมูล GPS, cell ID ของเสาสัญญาณมือถือ และข้อมูล Wi‑Fi beacon ไปยังเซิร์ฟเวอร์ในฮ่องกงและจีนแผ่นดินใหญ่
  • แอประบุว่าไม่ได้เก็บข้อมูลส่วนบุคคลหรือส่งต่อให้บุคคลที่สาม แต่ความจริงไม่เป็นเช่นนั้น
  • ผู้ใช้ควรสามารถหยุดแอปได้ทั้งตอนเริ่มต้นหรือขณะทำงานเบื้องหลัง และระบบปฏิบัติการควรกำหนดให้การเข้าถึงอินเทอร์เน็ตเป็นสิทธิ์ที่ผู้ใช้สามารถอนุมัติหรือเพิกถอนได้
  • ควรมีความสามารถบน Android ที่ให้ข้อมูล GPS ปลอมกับแอปบนอุปกรณ์จริง เพื่อป้องกันไม่ให้แอปเก็บข้อมูลตำแหน่งที่ไม่จำเป็น
  • ไม่ใช่แค่จีนเท่านั้น แต่อุปกรณ์ทุกชนิดก็สามารถเก็บและส่งข้อมูลจำนวนมากได้
  • รัฐบาลสหรัฐฯ ควรดำเนินการกับอุปกรณ์ประเภทนี้ด้วยเหตุผลด้านความมั่นคงของชาติ
  • แอปอื่น ๆ เช่นแอปมือถือ Android ของ Victron สำหรับการจัดการแบตเตอรี่ ก็เก็บข้อมูลตำแหน่งเช่นกัน
  • ผู้อ่านสามารถเรียนรู้เกี่ยวกับการทำวิศวกรรมย้อนกลับแอปสำหรับอุปกรณ์ที่เชื่อมต่อได้