Исследование предупреждает телефоны Android от Samsung, Xiaomi и других шпиониц за пользователями

Краткое содержание:

A recent study conducted by the University of Edinburgh and Trinity College Dublin reveals that Android phones from popular brands like Samsung, Xiaomi, Huawei, and Realme, as well as handsets running LineageOS and /e/OS, are collecting and transmitting substantial amounts of user data to OS developers and third-party platforms like Google, Microsoft, LinkedIn, and Facebook. Исследование также подчеркивает проблемы с регистрацией событий пользователя и сбором данных самим Google.

Ключевые моменты:

  1. 2 сентября Samsung подтвердил, что он был взломан, а нарушение, как сообщается, произошло в конце июля. В то время как кредитные карты и номера социального страхования не были скомпрометированы, были доступны личные данные, такие как имена, контактная информация, демографическая информация, дата рождения и данные регистрации продукта.
  2. Совместное исследование показало, что телефоны Android с Samsung, Xiaomi, Huawei и Realme, а также Lineageos и /E /OS.
  3. Данные, собранные телефонами Android, включают в себя идентификаторы устройств и пользователей, информацию о конфигурации устройства и журналирование событий пользователя.
  4. Было обнаружено, что устройства Samsung и Xiaomi регистрировали большие объемы данных о событиях взаимодействия с пользователем, в то время как другие устройства больше сфокусировались на идентификаторах пользователей, которые больше сфокусировались на переселенных пользователях.
  5. Google Play Services и Google Play Store были идентифицированы как основные виновники для сбора данных, собирая огромные объемы пользовательских данных из всех телефонов, кроме тех, кто работает /e /os.
  6. Google не предоставляет документацию относительно этого сбора данных, а полезные нагрузки доставляются в виде двоичных данных, сгенерированных запутанным кодом.
  7. Заинтересованным клиентам Samsung рекомендуется быть бдительными в отношении нежелательных сообщений, которые могут использовать украденные данные.
  8. Пользователи могут запросить бесплатный кредитный отчет для отслеживания потенциального неправильного использования их скомпрометированной информации.

Вопросы:

  1. В: Как Samsung обнаружил нарушение?

    2. A: Samsung обнаружил нарушение или около 4 августа, но не предоставил подробностей о том, когда именно оно было обнаружено.

  2. В: Какие данные были скомпрометированы в нарушении?

    3. A: Компрометированные данные могут варьироваться от клиента к клиенту, но включает в себя личную информацию, такую ​​как имена, контактные данные, демографические данные, дата рождения и данные регистрации продукта.

  3. В: Помещают ли номера кредитной карты и социального страхования?

    4. A: Samsung подтвердил, что информация о кредитной или дебетовой карте и номерах социального страхования не было.

  4. Q: Какие операционные системы были включены в исследование?

    5. A: Исследование включало телефоны на основе Android от Samsung, Xiaomi, Huawei и Realme, а также устройства, использующие Lineageos и /E /OS.

  5. В: Какие типы данных собираются телефонами Android?

    6. A: Собранные данные включают идентификаторы устройства и пользователей, информацию о конфигурации устройства и журналирование событий пользователя как форма «Телеметрия.”

  6. В: Какие устройства были обнаружены для получения наибольших данных о взаимодействии с пользователем?

    7. A: Было обнаружено, что устройства Samsung и Xiaomi регистрировали значительные объемы данных о взаимодействии с пользователем.

  7. Q: Какая сущность была идентифицирована как основной комбайн данных?

    8. О: Google Play Services и Google Play Store собирали большие объемы данных из всех телефонов, кроме тех, кто работает /e /os.

  8. В: Google прозрачна в отношении сбора данных?

    9. A: Google не хватает документации для ее методов сбора данных, а полезные нагрузки доставляются через запутанный код.

  9. В: Как клиенты могут защитить себя от потенциального неправильного использования своих скомпрометированных данных?

    10. A: Samsung рекомендует клиентам оставаться предупреждающими о незапрошенных электронных письмах, сообщениях или телефонных звонках, которые могут использовать украденные данные. Кроме того, клиенты могут запросить бесплатный кредитный отчет для мониторинга любых признаков неправильного использования.

  10. В: Где я могу найти полное обучение?

    11. A: Полное исследование можно получить на веб -сайте Trinity College Dublin в формате PDF.

Исследование предупреждает телефоны Android от Samsung, Xiaomi и других шпиониц за пользователями

У каждого, кто использует телефон Android, вероятно, было некоторое знакомство с безопасностью, спрашивает: «Разве вы не знаете, сколько данных у вас есть телефон?”Большинство из нас отжимают его как одно из неизбежных обстоятельств современной жизни: вы хотите смартфон, вы имеете дело с сбором данных. Тем не менее, некоторые люди не так хотят принести эту жертву.

Samsung был взломан: какие данные были украдены?

2 сентября Samsung опубликовал консультацию по обеспечению безопасности, подтверждая, что он был взломан. Нарушение, по -видимому, было из систем Samsung в U.С. и состоялся в «конец июля», согласно консультативному.

Хотя точно неясно, когда Samsung обнаружил нарушение, мы знаем, что «4 августа или около того», Samsung определил, что некоторые личные данные некоторых клиентов были скомпрометированы. Опять же, Samsung не дал никаких признаков того времени, сколько его клиентов в U.С. были затронуты.

Samsung говорит, что не доступа к информации о кредитных или дебетовых картах, ни номерах социального страхования, однако, степень скомпрометированных данных является тревожным. Samsung заявил, что точный характер доступных данных может варьироваться от клиента к клиенту.

Итак, о какой информации мы говорим здесь?

  • Имя
  • Контактная информация
  • Демографические данные
  • Дата рождения
  • Данные регистрации продукта

Больше от Forbes Advisor

Лучшие компании по страхованию путешествий

ЭМИ ДАНИЗ

Лучшие планы страхования путешествий Covid-19

ЭМИ ДАНИЗ

Все данные, говорит Samsung, он собирает «чтобы помочь обеспечить наилучший опыт с нашими продуктами и услугами.”Полная степень таких собранных данных можно найти в политике конфиденциальности для u.С. клиенты.

Насколько я понимаю, все клиенты, чья информация была скомпрометирована, получили электронное письмо, чтобы сообщить им и объяснить следующие шаги. Samsung признает, что может возникнуть необходимость в дальнейшей связи по мере продолжения расследования.

Клиентам рекомендуется быть предупреждая о незапрошенных электронных письмах, сообщениях или телефонных звонках, которые могут использовать украденные данные в качестве рычага вовлеченности.

Взволнованные клиенты Samsung в U.С. может также получить бесплатный кредитный отчет, и информация для этого содержится в консультации.

Исследование предупреждает телефоны Android от Samsung, Xiaomi и других шпиониц за пользователями

У каждого, кто использует телефон Android, вероятно, было некоторое знакомство с безопасностью, спрашивает: «Разве вы не знаете, сколько данных у вас есть телефон?”Большинство из нас отжимают его как одно из неизбежных обстоятельств современной жизни: вы хотите смартфон, вы имеете дело с сбором данных. Тем не менее, некоторые люди не так хотят принести эту жертву.

Новое совместное исследование из Эдинбургского университета в Шотландии и Тринити-колледже Дублин в Ирландии проверяло телефоны на основе Android от Samsung, Xiaomi, Huawei и Realme, а также мобильные телефоны, управляющие Lineageos и открытым исходным кодом, сфокусированный на конфиденциальности /E /OS. Исследование показало, что «даже если минимально настроен и телефон простаивает, варианты Android-поставщики передают значительные объемы информации разработчику ОС, а также третьими участниками (Google, Microsoft, LinkedIn, Facebook и т. Д.) »

Как отмечают авторы газеты, хотя много было сказано о проблемах конфиденциальности, связанных с конкретными приложениями, было написано относительно мало о проблемах конфиденциальности в самой операционной системе. После тестирования авторы с энтузиазмом, что эта тема нуждается в гораздо большем внимании, поскольку они обнаружили, что устройства поглощают гигабайты данных, даже когда я холод.

Данные, собранные телефонами Android

Кредит: Тринити -колледж Дублин

Более конкретно, исследователи обнаружили, что Samsung, Xiaomi, Huawei и REALME собирают идентификаторы устройств и пользователей, информацию о конфигурации устройства и, возможно, наиболее проклятые, журналирование событий (как форма телеметрии.”) Было обнаружено, что только устройства Samsung и Xiaomi регистрировали значительные объемы данных о событиях взаимодействия с пользователем, хотя – другие устройства, в основном, были сосредоточены на переселенных идентификаторах пользователей.

Это не слишком утешительно, учитывая, что исследователи также демонстрируют, как собранные данные, связанные с этими идентификаторами пользователей (такие как рекламные идентификаторы), все еще могут быть связаны с исходным устройством и пользователем. Кроме того, исследователи комментируют, что крупнейшим виновником для сбора данных является фактически сам Google. В статье они говорят, что «Google Play Services и Google Play Store собирают большие объемы данных из всех телефонов», за исключением устройства /E /OS, так как в ОС не используется сервисы Google Play.

Точки контакта передачи данных Android

Авторы продолжают отмечать «непрозрачный характер этого сбора данных», комментируя, что Google не предоставляет никакой документации, и что полезные нагрузки доставляются в виде бинарных данных, сгенерированных намеренно упущенным кодом. Очевидно, они обсуждались с Google, чтобы создатель Android опубликовал документацию для этой сбора данных/телеметрии, «но на сегодняшний день это не произошло.”

Исследование довольно глубокое и заполнено техническим жаргоном, но оно все еще стоит прочитать, если вы даже касательно заинтересованы в теме. Вы можете найти документ PDF на веб -сайте Trinity College Dublin.

Пользователи Galaxy, обратите внимание: Samsung, вероятно, продает ваши данные

Samsung продает данные

Полагаясь на Google Services, как это делают большинство из нас приматов для Android, поставляется с определенным компромиссом. Это не большой секрет или что-то в этом роде: Google зарабатывает свои деньги, продавая рекламу, которые более эффективны, когда они обслуживают наши интересы-предметы, о которых мы склонны ищем, о том, что мы покупаем (когда Google знает, по крайней мере, их, по крайней мере), и часто даже в местах, где мы идем с нашими телефонами с поддержкой местоположения на буксире (и/или в.

Это все на уровне курса, как я часто говорю – часть соглашения, которую мы все принимаем, когда используем Google Services. Это то, что позволяет Google предоставить нам первоклассные приложения бесплатно, а также то, что открывает дверь для определенных расширенных функций, которые не были бы невозможно без присутствия этой информации.

Что вы могли бы нет Поймите, однако, что если вы используете телефон Android, чей производитель вносит значительные изменения в операционную систему или приложения на системном уровне вокруг него-любой телефон, отличный от пикселя Google, или Google, связанного с Google Android One, на самом деле-есть достойная вероятность, что создатель вашего телефона добавляет свой собственный уровень сложности в эту аранжировку-есть достойная вероятность, что создатель вашего телефона добавляет свой собственный уровень сложности в это расположение. И хотя сам Google никогда не делится вашими данными ни с кем, компания, которая создает ваш телефон, может использовать свои позиции для двойной дип и непосредственно прибывать от той же личной информации, которую, как вы предполагаете, защищена.

Это, безусловно, имеет место с Samsung. В дополнение к тому, что Samsung, по-видимому, тихо создал сложную часть изменений от продажи вашего аппаратного обеспечения, он тихо создал сложную систему для сбора различных типов данных от людей, которые владеют своими телефонами, а затем приносят дополнительный доход, продавая эти данные третьим сторонам-или иногда используя данные для питания собственной самостоятельной рекламы. Это может быть смущает любого и особенно в красный флаг для предприятий и предприятий, где защита информации является особенно давным приоритетом.

На все время я жаловался на сложность и путаницу, созданные настойчивостью Samsung в том, что я снимал телефоны Galaxy с избыточными версиями Google Services, мне никогда не приходило в голову, что из -за причины, по которой это делалось, заключалась в том, чтобы опустить пользовательские данные и превратить его в вторичный поток дохода. Только когда команда из разработчиков XDA заметила недавно присутствующую настройку в приложении Samsung Pay на днях, на самом деле, такое понятие пришло мне в голову.

Samsung, как обнаружил XDA, недавно добавил переключение в настройки своего приложения для платного приложения под названием «Не продавать.«Если вы найдете его и активируете его-и нет, это не активировано по умолчанию-тогда и только тогда ваши данные, связанные с платежом», можно заблокировать от Samsung Pay Partners.”

Samsung Privacy (1)

Samsung предупреждает вас, что некоторые из ее функций оплаты не будут работать, если вы переключите этот переключение, хотя не сразу неясно, какие конкретные элементы приложения оно ссылается.

Samsung Privacy (2)

Дополнение этого переключателя, по -видимому, связано с новым набором правил конфиденциальности, введенных в государство Калифорния: Закон о конфиденциальности потребителей в Калифорнии или CCPA, который вступил в силу в начале этого года – в тот же день, когда политика конфиденциальности Samsung была обновлена. Не ясно, предоставляется ли та же самая платная плата «не продавать» владельцам галактик за пределами U за пределами U.С., но что является Ясно, что Samsung, похоже, никому не предоставила эту опцию или вообще ясно дал понять, что он, по-видимому, продавал данные, связанные с платеж, третьим лицам-до этого момента.

И углубляться в политику конфиденциальности компании, кажется, это не единственное место, где используются такие методы понижения данных. В рамках политики «Заявление о конфиденциальности потребителей» в Калифорнии – опять же, выявляя информацию конкретно для жителей Калифорнии, как сейчас требуется законом – Samsung говорит:

Мы можем позволить определенным третьим лицам (например, рекламным партнерам) собирать вашу личную информацию. Вы имеете право отказаться от этого раскрытия вашей информации.

Он также предупреждает жителей Калифорнии, что до прохождения CCPA он «мог» продавать несколько конкретных категорий о тревожности информации о переходе, в том числе:

Идентификаторы, такие как уникальный личный идентификатор (например, идентификатор устройства; файлы cookie, маяки, пиксельные теги, идентификаторы мобильной рекламы и аналогичные технологии; другие формы постоянных или вероятностных идентификаторов), онлайн -идентификатор и адрес интернет -протокола

Коммерческая информация, включая записи продуктов или услуг, приобретенных, полученных или рассмотренных, а также других историй о покупке или потреблении или тенденциях

Интернет и другая информация о активности в сети, включая, помимо просмотра истории, история поиска и информацию о вашем взаимодействии с веб -сайтами, приложениями или рекламой

Выводы, сделанные из любой информации, указанной выше, для создания профиля о том, что вы отражаете ваши предпочтения, характеристики, психологические тенденции, предрасположенности, поведение, отношение, интеллект, способности и способности.

Yikes. И это едва царапает поверхность. Компания отмечает, что она также может «раскрыть» еще более личную информацию для «поставщиков» для «бизнес-цели»-всего от вашего имени, адреса и номера телефона до вашей подписи, номера банковского счета, номера кредитной карты, истории покупок, истории просмотра, истории поиска, данных геолокации и, опять же, эта прекрасная сборка.

Я бы хотел, чтобы это закончилось там, но чем больше вы копаете, тем больше тревожных вещей вы раскрываете. Страница конфиденциальности для службы настройки Samsung-то, что интегрировано во всем программном обеспечении Galaxy Devices и связанных приложениях для подразделения Samsung-собирает большую часть тех же самых специфичных для устройства информацию. Он рассказывает о том, какие приложения вы используете на своем устройстве, а также, какую музыку вы играете на телефоне, какие веб -сайты вы посещаете, какие поиски вы делаете, и где и когда делаете снимки. Он также опирается на приложения Samsung, такие как пользовательский календарь компании и утилиты Интернета (браузер) для анализа ваших данных из те домены.

И затем он использует всю эту информацию для «отображения индивидуальных рекламных объявлений о продуктах и ​​услугах, которые могут вас интересовать», среди прочего. Он оставляет за собой право «собирать, анализировать и обмениваться информацией», чтобы предоставить вам «рекламные и прямые маркетинговые сообщения о продуктах и ​​услугах, предлагаемых Samsung и третьими лицами, которые адаптированы к вашим интересам.”

Говоря о рекламе, есть целое другой банка червей об этом.

Google никогда не продает ваши данные и не распространяет их с третьими лицами

Но подождите: все это еще не происходит с Google, в любом случае? Это действительный вопрос. И ответ: не совсем. Во -первых, и наиболее важно, Google никогда не продает ваши данные и не обменивается им с какими -либо третьими лицами, даже если указанная информация используется, чтобы помочь определить, какие рекламы вы видите в Интернете через рекламные сети Google. Вот где Samsung вещь особенно чувствительно к чувствительности и потенциально касается, если вы спросите меня продажа информации для других компаний.

Но помимо этого, использование данных Google для персонализации AD является известной, основной частью его бизнеса на этом этапе. Люблю это или ненавижу, невероятно передовые Google о том, какой тип данных он собирает и как именно он его использует. Компания получила целые сайты, посвященные этому предмету, с простыми английскими, нелегальскими поломками. И это позволяет точно понять, какая информация хранится о вас, и отказаться от любой формы активности, управляемой данными,-включая всю систему персонализации AD-с пониманием, конечно, это повлияет на то, какие функции доступны вам в определенных связанных областях.

Напротив использование данных Samsung кажется немного подлым. Конечно, вы, возможно, нажали через некоторые обширные условия службы, когда вы впервые настроили свой телефон – кто может запомнить? – но компания, безусловно, не станет изо всех сил, чтобы убедиться, что вы понимаете и можете точно контролировать то, что она делает с вашими данными. И тот факт, что его приложения, интегрированные на Android.

Я обратился к Samsung в понедельник, чтобы узнать, может ли компания предоставить какой -либо дополнительный контекст или прокомментировать что -либо из этого. Я обновлю эту страницу, если получу дополнительную информацию.

Когда мы говорим об Android и конфиденциальности, существуют две очень разные реальности

В конечном счете, однако, это сводится к этому: с Android или любыми услугами Google, вы принимаете договоренность с Google и доверяете Google Чтобы сохранить ваши данные в безопасности. Это весь бизнес компании, и, по-видимому, вы считаете, что она может сделать достаточно достойную работу по защите вашей личной и/или трудовой информации, даже если она использует части этой информации для персонализации AD.

Когда вы добавляете Samsung’s Программное обеспечение в уравнение, вы создаете вторичный слой, который находится на вершине этого – и, следовательно, двойной количество компаний, имеющих доступ к вашей информации и ответственность за ее защиту. (Кроме того, одна из этих компаний открыто претендует на право передавать некоторые из ваших данных дальше по мере того, как они считают нужным, в дополнение к использованию его для собственной вторичной системы AD обслуживания.) Вы удваиваете свою экспозицию, другими словами, или больше, чем удваивая его, как только вы учитываете обмен третьими лицами.

Когда мы говорим об Android и конфиденциальности – точно так же, как когда мы говорим об поддержке Android и программного обеспечения или Android и общем опыте пользователей – стоит помнить, что существуют две очень разные реальности: тот, который Google создает и предоставляет через свои собственные телефоны Android, и еще одна компания адаптируется к своим собственным приоритетам и интересам бизнеса и бизнеса. Если вы решите выходить за пределы юрисдикции Google и в другую галактику, очень важно помнить об этом различии и взять на себя его, чтобы искать и отключить любые вторичные слои, которые вы не хочу в вашем уравнении мобильного технологий.

Подпишитесь на мою еженедельную бюллетени, чтобы получить более практические советы, личные рекомендации и простые перспективы на новости, которые имеют значение.

Ай информационный бюллетень

  • Samsung Electronics
  • Мобильный
  • Android
  • Смартфоны
  • Безопасность
  • Малый и средний бизнес

Редактор, участвующий. Голоден для большего? Подпишитесь на его еженедельный информационный бюллетень, чтобы получить свежие советы и понимание в вашем почтовом ящике каждую пятницу.

Copyright © 2020 IDG Communications, Inc.

Samsung раскрывает нарушение данных после июльского взлома

Samsung

Гигант электроники Samsung подтвердил новое нарушение данных сегодня после некоторых из его U.С. Системы были взломаны, чтобы украсть данные клиентов.

Компания заявила, что ее системы были скомпрометированы в конце июля 2022 года. 4 августа Samsung обнаружил, что личная информация о клиентах была доступна и эксфильтрирована из своей сети.

В то время как злоумышленники не крали номера социального обеспечения или кредитных карт во время нарушения, они выхватили имена, контакты и демографические данные клиентов Samsung, даты рождения и данные регистрации продукта.

“Samsung обнаружил инцидент и предпринял действия для обеспечения затронутых систем. В рамках нашего продолжающегося расследования мы привлекли ведущую внешнюю фирму по кибербезопасности и координируемся с правоохранительными органами », – сказал Самсунг.

“Информация, затронутая для каждого соответствующего клиента, может варьироваться. Мы уведомляем клиентов, чтобы они узнали об этом », – добавила компания.

Samsung июльская уведомление о нарушении данных Электронная почта

Samsung советует влиять на людей:

  • Оставайтесь осторожны с любыми нежелательными сообщениями, которые запрашивают вашу личную информацию, или направляйте вас на веб -страницу с просьбой личной информации
  • Избегайте нажатия на ссылки или загружать вложения из подозрительных электронных писем
  • Просмотрите свои учетные записи на наличие подозрительной деятельности

Это второе нарушение данных, подтвердившее Samsung с начала года, когда в марте гигант электроники заявил, что группа вымогательства данных LAPSUS $ нарушила свою сеть и украла конфиденциальную информацию, включая исходный код Galaxy Devices Devices.

Хакеры просочились 190 ГБ архивов, содержащих то, что они утверждали в то время, чтобы быть документами, украденными с серверов Samsung.

Samsung не ответил на запрос на более подробную информацию о июльском нарушении данных, когда BleepingComputer обратился ранее сегодня.