据 trinity college dublin (爱尔兰都柏林圣三一学院) 的研究[1],研究者对一系列热门 android 手机的深入分析揭示了大量数据收集和共享的行为,其中包括与第三方共享,且用户无法选择退出这种收集和共享。
据2021年10月6日,由 trinity college dublin (爱尔兰都柏林圣三一学院) 的 doug leith 与 university of edinburgh (英国爱丁堡大学) 的 haoyu liu 和 paul patras 的论文 “android mobile os snooping by samsung, xiaomi, huawei and realme handsets” 所述,研究者检查了由 samsung (三星)、xiaomi (小米)、huawei (华为)、realme (真我)、lineageos 和 /e/os 开发的6种 android 操作系统的变体所发送的数据。
研究显示,除 /e/os 之外,这些供应商定制的 android 系统变体即使在配置最低、手机闲置的情况下,也会向操作系统开发商和第三方预装应用的公司(如谷歌、微软、linkedin 和 facebook 等)传输大量信息,而对于这种数据收集,没有选择退出。研究者指出,偶尔与操作系统服务器进行的通信是预期之内的,但研究中所观察到的数据传输远远超出了这个范围,并引发了一些隐私问题。
研究的主要发现包括:
● 除了 /e/os 之外,所有被调查的手机制造商都收集了一份手机上所有已安装 app 清单。这是潜在的敏感信息,它可以揭示用户的兴趣,例如心理健康、穆斯林祈祷、同性恋约会、共和党新闻等相关 app。这种数据收集是用户没有选择的。
● 小米手机将用户查看的所有应用屏幕的详细信息发送给小米公司,包括每个应用的启动时间和使用时长。例如,它显示了电话的来电时间和持续时间。这种效果类似于使用 cookies 来跟踪人们在网页之间的转移。 这些数据似乎被发送到新加坡。
● 在华为手机上,swiftkey 键盘将应用程序的使用细节随时间推移发送给微软。 例如,它显示了用户写文本、使用搜索栏、搜索联系人的时间。
● 三星、小米、真我和谷歌在收集用户可重置的广告识别码的同时,还收集长期存在的设备识别码,如硬件序列号。这意味着,当用户重置广告标识符时,新的标识符值可以轻而易举地重新链接到同一设备上,这可能会破坏用户可重置广告标识符的使用。
● 第三方预装 app,例如谷歌、微软、linkedin 和 facebook 等,被预先安装在手机并默默收集数据,用户无法选择退出。
● 可能存在一个由不同公司从手机上收集的数据而构成的数据生态系统被用于共享和链接。值得注意的是,关注隐私的 android 系统变体 /e/os 基本上没有传输数据。
值得一提的是,此前在2021年3月25日,由 trinity college dublin (爱尔兰都柏林三一学院) 的 douglas j. leith 的论文 “mobile handset privacy: measuring the data iosand android send to apple and google” 所述,运行 ios 的 iphone 与苹果,以及运行 android 的 pixel 与谷歌之间也会共享数据。
研究显示,即使在配置最低且手机闲置的情况下,ios 和 android 平均每4.5分钟就会分别与苹果/谷歌分享一次数据。
在用户未登录状态下,苹果 ios 和谷歌 android 所收集的数据如下:
● 苹果 ios 收集的10类信息:
imei、硬件序列号、sim卡序列号、电话号码、设备id(udid 及 ad id)、地理位置、遥测数据、cookies、ip地址、附近设备的 wifi mac 地址(例如其他手机和家庭网关)。
● 谷歌 android 收集的8类信息:
imei、硬件序列号、sim卡序列号、电话号码、设备id(android id, rdid/ad id, droidguard key)、遥测数据、cookies、设备的 wifi mac 地址。
对此,用户无法选择退出,目前几乎没有任何现实的选择来阻止这种数据共享。