Pokusa zbierania informacji o zachowaniu użytkowników danego produktu musi być wielka. W Lenovo okazała się tak duża, że mimo wyłączenia opcji raportowania wydarzeń do centrali, telefon nadal je przesyła.
Czasem zabawa z serwerem proxy może dostarczyć wiele rozrywki i pomóc dokonać ciekawych odkryć. Przekonał się o tym nasz rodak, autor bloga ximral.wordpress.com, który odkrył, że jego telefon zachowuje się niezgodnie z jego poleceniami i zgłasza centrali informacje o zachowaniu użytkownika. Problem dotyczy nie tylko posiadaczy telefonów Lenovo.
Podejrzana komunikacja
Autor odkrycia postanowił przepuścić ruch swojego telefonu Lenovo A820 przez serwer proxy i sprawdzić, co urządzenie wysyła do sieci. Oprócz zwykłej komunikacji Google natrafił na żądania HTTP, które wzbudziły jego wątpliwości. Wyglądały one tak:
Domena lenovomm.com wygląda na zarejestrowaną faktycznie przez Lenovo. Co zatem jest wysyłane do centrali? Treść żądania POST wyglądała następująco:
ctx=1.9.2!0!RT3N00LZP3B8!null!34f026042e4ea305!417780254 !540×960!1999422605!1408440981081!1411986938695!1411986940362 !1411987204942!73!2!sn!0123456789ABCDEF!bu!! &evt=LeLauncher!L02!com.lenovo.ideatool!1!
Można tam znaleźć:
- Wersję (?): ctx=1.9.2
- Unikatowy identyfikator : 34f026042e4ea305
- Rozdzielczość ekranu: 540×960
- Znacznik czasowy: 1411986940362 = 29 wrzesnia 2014 13:01:29 GMT
- Numer seryjny telefonu: 0123456789ABCDEF (zmieniony przez autora wpisu)
- Rodzaj wydarzenia: evt=LeLauncher!L02!com.lenovo.ideatool
Zgody nie mamy, ale zadzwonimy
Okazało się, że żądania wysyła firmowa nakładka interfejsu użytkownika, IdeaDesktop. Co najciekawsze, w opcjach IdeaDesktop można zaznaczyć, czy wyraża się zgodę na przesyłanie informacji do centrali. Autor odkrycia zgody nie wyraził, a mimo to wiele wydarzeń powodowało komunikację z centralą. Seria eksperymentów pozwoliła ustalić, że raportowane są następujące zdarzenia:
- Uruchomienie telefonu : __INITIAL__!initial!!0! and __INITIAL__!upload!test!0!
- Instalowanie aplikacji : LeLauncher!L01!APP_BASENAME!1!
- Usunięcie aplikacji : LeLauncher!L02!APP_BASENAME!1!
- Wyszukiwanie aplikacji : LeLauncher!L26!SearchQuery!1!
- Dodanie elementu do pulpitu : LeLauncher!L10!!1!
- Zmiana tapety: LeLauncher!L11!!1!
- Zmiana wyglądu : LeLauncher!L12!!1!
- I prawdopodobnie także inne funkcje
Nie dość, że żądania wysyłane są bez respektowania ustawień aplikacji, wszystkie przesyłane są przez HTTP, umożliwiając ich podsłuchanie.
Nie tylko Lenovo
Na ślady podobnego zachowania można trafić na przykład w aplikacji Lenovo SHAREit czy też w innych modelach tego samego producenta. Trzeba jednak zwrócić uwagę, że z programu IdeaDesktop mogą korzystać także użytkownicy telefonów innych producentów – co prawda nie jest to najpopularniejszy interfejs, ale ma swoich zwolenników. Zarówno posiadaczom Lenovo jak i miłośnikom IdeaDesktop spod znaku innych marek proponujemy szybką migrację do rozwiązań dających więcej prywatności.
Komentarze
To już się kwalifikuje pod sąd. Chociaż nie jestem prawnikiem, to według mnie są to informacje uzyskane niezgodnie z prawem. Już nie mówię o ochronie danych osobowych, ale o 'bezprawne uzyskanie dostępu do informacji nieprzeznaczonych dla danej osoby’.
Niestety, ale wiekszosc producentow tak robi. Az dziw bierze, ze tak rzadko ludzie analizuja ruch sieciowy swoich urzadzen. Niestety szpieguja z kazdej strony.
Zwroc uwage na zdanie dotyczace standardowej komunikacji google. Co to znaczy? Co przesyla do google android? Przypuszczalnie podobne rzeczy do lenovo + wiecej.
>Az dziw bierze, ze tak rzadko ludzie analizuja ruch sieciowy swoich urzadzen.
no wiesz, autyzm ma mniej więcej 1 na 1000 osób :D
Ciekawe czy Policja by sie za to wzieła, jakbyś zgłosił zawiadomienie o podejrzeniu popełnienia przestępstwa ?
Oczywiście. Za dwa tygodnie dostaniesz umorzenie z powodu „niewykrycia sprawcy”.
A czy robią to tablety Lenovo z rynku polskiego?
Na szczęście na rynek polski wyłączyli zbieranie danych
Rok temu miałem przez moment telefon Lenovo i na oryginalnym ROM-ie non stop była próba komunikacji z fsr.lenovomm.com; fus.lenovomm.com; hao.lenovo.com; lds.lenovomm.com; mb.lenovomm.com; sss.lenovomm.com; susapi.lenovomm.com; suslcs.lenovomm.com; uss.lenovomm.com
Właśnie dlatego wciąż trzymam się zdania, że telefon ma być do dzwonienia i smsów. Dzięki temu można poszukać czegoś prostego, a do innych rzeczy używać tabletu lub komputera ;)
A znacie jakies podobne testy ale dla telefonow pracujacych pod Androidem od roznych producentow?
Producenci podrzucaja rowniez swoje preinstalowane aplikacje, ktore czesto dzialaja w tle i nie mozna ich usunac, tak ze tez pewnie ciekawych rzeczy sie mozna doszukac. Wiadomo, ze mozna zainstalowac wlasny firmware, ale robia to zazwyczaj tylko nieliczni ;-)
Szczepanie, jako kulturysta powinieneś wiedzieć, że w Androida możesz upakować ile zechcesz :) Lepiej z góry założyć, że telefon cię szpieguje. Jeśli nawet sprawdzisz wszystkie aplikacje, to będziesz musiał robić to samo przy każdej aktualizacji ;)
Wygląda mi to na trochę nieprofesjonalne podejście do tematu. Swego czasu pracowałem w firmie zajmującej się rozwiązaniami tego typu. Aby uniknąć problemów z wykryciem takich rzeczy, zwykle komunikacja odbywa się po UDP, pakiety są zaszyfrowane a reverse DNS serwerów są ustawione na np. 1e100.net (back-end Google’a) aby uniknąć podejrzeń.
Lenovo to nisza. Android i google to dopiero gwałciciel prywatności.
http://ocdn.eu/images/pulscms/NTE7MDMsMjZjLDAsMCwx/a2a629fe732e34cf177859de0e0fe32e.jpg