Новейший флагманский смартфон Google вызывает опасения по поводу конфиденциальности и безопасности пользователей. Он часто передает личные данные пользователей технологическому гиганту до установки какого-либо приложения. Более того, исследовательская группа Cybernews обнаружила, что он потенциально обладает возможностями удаленного управления без ведома пользователя или его одобрения.
Исследователи Cybernews проанализировали веб-трафик нового смартфона Pixel 9 Pro XL, сосредоточив внимание на том, что новый смартфон отправляет в Google.
Каждые 15 минут Google Pixel 9 Pro XL отправляет в Google пакет данных. Устройство передает данные о местоположении, адрес электронной почты, номер телефона, состояние сети и другие данные телеметрии. Еще более тревожным является то, что телефон периодически пытается загрузить и запустить новый код, что потенциально создает угрозу безопасности”, - сказал Арас Назаровас, исследователь по безопасности в Cybernews.
Cybernews связался с Google по поводу этих результатов. Компания объясняет, что передача данных необходима для предоставления законных услуг на всех мобильных устройствах, независимо от производителя.
Основные выводы
- Личная информация неоднократно отправлялась в фоновом режиме, включая адрес электронной почты пользователя, номер телефона, местоположение, список приложений и другую телеметрию и статистику.
- Телефон постоянно запрашивает новые “эксперименты и конфигурации”, пытается получить доступ к промежуточной среде и подключается к конечным точкам управления устройствами и применения политик, что позволяет использовать возможности удаленного управления Google.
- Устройство Pixel подключалось к сервисам, которые не использовались и на которые не было дано явного согласия, например, к конечным точкам группировки лиц, что вызывало проблемы с конфиденциальностью и правом собственности.
- Приложение calculator в некоторых случаях передает историю вычислений не прошедшим проверку подлинности пользователям, имеющим физический доступ.
Методология
Исследователи использовали подход “человек посередине” для перехвата трафика между новым Pixel 9 Pro XL и серверами Google.
На совершенно новый телефон с новой учетной записью Google и настройками по умолчанию они установили приложение Magisk, чтобы получить полный (root) доступ к системе телефона. Затем исследователи проксировали входящий и исходящий трафик и использовали пользовательский сертификат безопасности для расшифровки и проверки сообщений.
Рутинг телефона отключает функции искусственного интеллекта, такие как Google Gemini Assistant, Pixel Studio и, возможно, некоторые другие функции. Таким образом, этот метод не позволял отслеживать весь трафик.
Собранный трафик не был изменен ни на одном этапе, и исследователи не взаимодействовали вручную с конечными точками и не пытались проверить сохраненные секреты.
Телефон периодически передает данные
Анализ веб-трафика показал, что устройство Pixel непрерывно отправляет личную информацию (PII), такую как адрес электронной почты пользователя, номер телефона и местоположение, на различные конечные точки Google, включая управление устройствами, применение политик и группировку лиц.
Каждые 15 минут устройство отправляет обычный запрос на проверку подлинности в конечную точку под названием ‘auth’.
Телефон также запрашивает конечную точку "регистрации" примерно каждые 40 минут, в которой перечисляются низкоуровневые функции, включенные в телефоне, такие как версия встроенного ПО, подключение к Wi-Fi или использование мобильных данных, оператор SIM-карты и адрес электронной почты пользователя.
Данные о местоположении включаются в запрос, даже если GPS отключен – в этом случае телефон использует близлежащие сети Wi-Fi для определения местоположения.
“Pixel 9 Pro XL постоянно использует PII для аутентификации, настройки и ведения журнала. Эта практика не соответствует лучшим в отрасли методам анонимизации и кажется чрезмерной. Смартфон передает адрес электронной почты пользователя, его местоположение и номер телефона, даже при использовании множества других идентификаторов пользователя и устройства”, - сказал Назаровас.
Местоположение и другие конфиденциальные данные могут быть неотъемлемой частью многих сервисов и функций Google, таких как недавно появившаяся система обнаружения автомобильных аварий.
Взаимодействие со службами без явного согласия
Другим важным наблюдением стало использование сервисов, на которые пользователь явно не давал согласия.
Исследователи Cybernews ни разу не открывали приложение "Фотографии" и не делали никаких фотографий. Тем не менее, устройство Pixel периодически связывалось с конечными точками, связанными с функцией группирования лиц в Google Фото, не спрашивая согласия.
“Эти сервисы особенно чувствительны, поскольку конечные точки используются для обработки биометрических данных, таких как распознавание лиц. Поскольку на тестируемом устройстве не было фотографий, мы не наблюдали отправки какой-либо личной информации на эти конечные точки”, - сказал Назаровас.
Другая функция Google, голосовой поиск, подключалась к своим серверам нерегулярно – иногда каждые несколько минут, а иногда не выходила на связь часами.
Он отправлял потенциально избыточные и конфиденциальные данные, включая количество перезагрузок устройства, время, прошедшее с момента включения, и список приложений, установленных на устройстве, включая те, которые были загружены в стороннем режиме.
Исследователи протестировали только учетную запись с настройками по умолчанию и не проверяли, как устройство будет реагировать на любые изменения в настройках конфиденциальности и безопасности.
Телефон постоянно проверяет наличие нового кода для запуска
Похоже, Google зарезервировал некоторые возможности удаленного управления для устройств Pixel.
В большинство Android-телефонов встроен пакет CloudDPC. Он используется для управления корпоративными устройствами, например, для изменения политик безопасности, удаленного распространения приложений, удаления данных и т.д.
“К сожалению, мы заметили, что CloudDPC подключается к серверам Google. Это сигнализирует о том, что компания может контролировать настройки и выполнять действия на обычных потребительских устройствах, если они того пожелают. Похоже, что пользователи не имеют полного контроля над устройством, когда поставщик может вносить изменения без ведома и согласия пользователя”, - сказал Назаровас.
Более того, устройство Pixel периодически обращается к службе промежуточной среды ("enterprise-staging.sandbox") и пытается загрузить ресурсы, которые еще не существуют.
Это показывает возможность удаленной установки новых пакетов программного обеспечения.
“Это вызывает беспокойство, поскольку среды разработки и промежуточной среды считаются менее безопасными и приватными. Если злоумышленник получит доступ к конечной точке разработки или подделает ее, такие ситуации могут привести к внедрению данных и потенциальному удаленному выполнению кода на устройствах Pixel”, - сказал Назаровас.
Телефон Pixel также поддерживал почти постоянную связь с конечной точкой экспериментов и конфигураций.
Исследователь отметил, что конечная точка экспериментов может использоваться для A/B-тестирования, опробования новых элементов пользовательского интерфейса или проведения рекламных кампаний на небольшой группе пользователей в течение ограниченного времени.
“Все эти сервисы сигнализируют нам о том, что владельцы Pixel 9 Pro XL, возможно, не смогут надежно управлять устройством или контролировать, что устанавливается или удаляется. В ходе эксперимента мы не наблюдали каких-либо вредоносных действий. Однако существующая инфраструктура может быть использована для удаленного управления устройством или для установки нового программного обеспечения”, - сказал Назаровас.
Положительным моментом является то, что за период наблюдения ни один пакет данных не был передан третьим лицам.
Кроме того, телефон постоянно запрашивал у серверов Google информацию об известных телефонных номерах, связанных с мошенничеством, предположительно, из-за функции проверки звонков. Каждые 24 часа устройство меняло криптографические ключи.
В калькуляторе произошла утечка вычислений
Во время использования телефона исследователи заметили еще один потенциально опасный аспект. Когда устройство Pixel заблокировано, приложение "калькулятор" доступно через виджеты панели уведомлений. При запуске в неограниченной версии приложения отображается история калькулятора. Хотя это и не самые конфиденциальные данные, они все равно не должны быть доступны посторонним пользователям.
“Мы не смогли получить доступ к каким-либо пользовательским данным без предварительной разблокировки устройства, и калькулятор был единственным исключением. Важно отметить, что виджет в панели уведомлений по умолчанию не включен – пользователю пришлось бы вручную добавить его в список ярлыков”, - сказал Назаровас.
Google: передача данных необходима для работы законных сервисов
Google объясняет, что основные сервисы Play обеспечивают ключевую функциональность на каждом сертифицированном устройстве Android. Каждый может проверить, какие данные собираются.
“Безопасность и конфиденциальность пользователей являются главными приоритетами Pixel. Вы можете управлять общим доступом к данным, разрешениями для приложений и многим другим во время настройки устройства и в своих настройках. В этом отчете отсутствует важный контекст, неправильно интерпретируются технические детали и не в полной мере объясняется, что передача данных необходима для законных сервисов на всех мобильных устройствах, независимо от производителя, модели или операционной системы, таких как обновления программного обеспечения, функции по запросу и персонализированный интерфейс”, - сказал представитель Google.
В компании также отметили, что сложно воссоздать точные сценарии, когда устройство модифицируется (рутируется) – эти условия могут спровоцировать непреднамеренную проверку данных. В целом, передача данных необходима для законных сервисов независимо от модели устройства, производителя или даже операционной системы.
В Pixel действуют строгие требования к конфиденциальным разрешениям, таким как местоположение, фоновые приложения и данные об использовании. Пользователи должны явно дать согласие на эти разрешения.
Вывод
Pixel 9 Pro XL, в котором особое внимание уделяется функциям искусственного интеллекта, поднимает планку инноваций, предлагая передовые возможности и интеграцию с Google Assistant. Однако это также вызывает некоторые опасения по поводу нарушения конфиденциальности и контроля пользователей.
“Объем передаваемых данных и возможность удаленного управления заставляют сомневаться в том, кому на самом деле принадлежит устройство. Пользователи, возможно, и заплатили за это, но глубокая интеграция систем наблюдения в экосистему может сделать пользователей уязвимыми для нарушений конфиденциальности”, - сказал Назаровас.
Исследователи Cybernews считают, что потенциальные выгоды перевешивают потенциальные риски. Однако по мере развития технологий компаниям необходимо обеспечивать прозрачность, защиту и контроль со стороны пользователей.
Google - публичная компания, стоимость которой превышает 2 трлн долларов. Технологическая компания начинала как поисковая система, а позже превратилась в конгломерат, предлагающий рекламные услуги, аппаратное обеспечение, облачные вычисления, решения для электронной коммерции, искусственный интеллект и другие. Недавно Google была признана виновной в создании поисковой монополии, и дело продолжается.
