據 trinity college dublin (愛爾蘭都柏林聖三一學院) 的研究[1],研究者對一系列熱門 android 手機的深入分析揭示了大量資料收集和共享的行為,其中包括與第三方共享,且使用者無法選擇退出這種收集和共享。
據2021年10月6日,由 trinity college dublin (愛爾蘭都柏林聖三一學院) 的 doug leith 與 university of edinburgh (英國愛丁堡大學) 的 haoyu liu 和 paul patras 的論文 “android mobile os snooping by samsung, xiaomi, huawei and realme handsets” 所述,研究者檢查了由 samsung (三星)、xiaomi (小米)、huawei (華為)、realme (真我)、lineageos 和 /e/os 開發的6種 android 作業系統的變體所發送的資料。
研究顯示,除 /e/os 之外,這些供應商定制的 android 系統變體即使在配置最低、手機閑置的情況下,也會向作業系統開發商和第三方預裝應用的公司(如谷歌、微軟、linkedin 和 facebook 等)傳輸大量資訊,而對于這種資料收集,沒有選擇退出。研究者指出,偶爾與作業系統伺服器進行的通信是預期之内的,但研究中所觀察到的資料傳輸遠遠超出了這個範圍,并引發了一些隐私問題。
研究的主要發現包括:
● 除了 /e/os 之外,所有被調查的手機制造商都收集了一份手機上所有已安裝 app 清單。這是潛在的敏感資訊,它可以揭示使用者的興趣,例如心理健康、穆斯林祈禱、同志約會、共和黨新聞等相關 app。這種資料收集是使用者沒有選擇的。
● 小米手機将使用者檢視的所有應用螢幕的詳細資訊發送給小米公司,包括每個應用的啟動時間和使用時長。例如,它顯示了電話的來電時間和持續時間。這種效果類似于使用 cookies 來跟蹤人們在網頁之間的轉移。 這些資料似乎被發送到新加坡。
● 在華為手機上,swiftkey 鍵盤将應用程式的使用細節随時間推移發送給微軟。 例如,它顯示了使用者寫文本、使用搜尋欄、搜尋聯系人的時間。
● 三星、小米、真我和谷歌在收集使用者可重置的廣告識别碼的同時,還收集長期存在的裝置識别碼,如硬體序列号。這意味着,當使用者重置廣告辨別符時,新的辨別符值可以輕而易舉地重新連結到同一裝置上,這可能會破壞使用者可重置廣告辨別符的使用。
● 第三方預裝 app,例如谷歌、微軟、linkedin 和 facebook 等,被預先安裝在手機并默默收集資料,使用者無法選擇退出。
● 可能存在一個由不同公司從手機上收集的資料而構成的資料生态系統被用于共享和連結。值得注意的是,關注隐私的 android 系統變體 /e/os 基本上沒有傳輸資料。
值得一提的是,此前在2021年3月25日,由 trinity college dublin (愛爾蘭都柏林三一學院) 的 douglas j. leith 的論文 “mobile handset privacy: measuring the data iosand android send to apple and google” 所述,運作 ios 的 iphone 與蘋果,以及運作 android 的 pixel 與谷歌之間也會共享資料。
研究顯示,即使在配置最低且手機閑置的情況下,ios 和 android 平均每4.5分鐘就會分别與蘋果/谷歌分享一次資料。
在使用者未登入狀态下,蘋果 ios 和谷歌 android 所收集的資料如下:
● 蘋果 ios 收集的10類資訊:
imei、硬體序列号、sim卡序列号、電話号碼、裝置id(udid 及 ad id)、地理位置、遙測資料、cookies、ip位址、附近裝置的 wifi mac 位址(例如其他手機和家庭網關)。
● 谷歌 android 收集的8類資訊:
imei、硬體序列号、sim卡序列号、電話号碼、裝置id(android id, rdid/ad id, droidguard key)、遙測資料、cookies、裝置的 wifi mac 位址。
對此,使用者無法選擇退出,目前幾乎沒有任何現實的選擇來阻止這種資料共享。