Entdeckt: Bluetooth-Autobatterie-Monitor leitet Standortdaten ab

 (doubleagent.net)
2 Punkte von GN⁺ 2023-06-27 | 1 Kommentare | Auf WhatsApp teilen
  • Autobatterie-Monitore mit Bluetooth-Funktion protokollieren die Batteriespannung und erfassen GPS-Koordinaten, Mobilfunkmastdaten sowie nahegelegene Wi-Fi-Beacons, die an Server in Hongkong und auf dem chinesischen Festland gesendet werden.
  • Die Android-App benötigt Standortberechtigungen, um das Hardware-Gerät verwenden zu können, sodass Nutzer zur Verwendung des Produkts ihren physischen Standort fortlaufend an Dritte übertragen müssen.
  • Der App Store führt Verbraucher in die Irre, indem er angibt, dass keine personenbezogenen Daten erhoben oder weitergegeben werden.
  • Da es keinen plausiblen Grund dafür gibt, dass eine Autobatterie-Monitoring-Anwendung den Standort der Nutzer verfolgt, wirft dies erhebliche Datenschutzbedenken auf.
  • Das Produkt verzeichnet allein unter Android mehr als 100.000 Downloads.
  • Die verwendete eingebettete Bibliothek AMap ist einer der wichtigsten Anbieter digitaler Karten in China und trägt teilweise zur umfassenden Datenerfassung bei.
  • Das AMap SDK erfasst GPS-Koordinaten, Standortdaten benachbarter Mobilfunkmasten und Wi-Fi-Access-Points; im zweiten Teil der Serie untersucht der Autor, wie AMap diese Daten sammelt.
  • Die Hardware ist simpel, muss mit einem Smartphone gekoppelt werden, und die erforderliche Anwendung läuft im Hintergrund und verwandelt das Smartphone in ein Gerät zum Scannen von Standorten.
  • Die Android-Anwendung benötigt Standortberechtigungen, um Standortinformationen zu erhalten, und auch die iOS-Version überträgt Standortdaten an entfernte Server.
  • Mitmproxy wird verwendet, um den Netzwerkverkehr abzufangen, und Frida wird für die dynamische Analyse sowie die Speicheranalyse eingesetzt.
  • Die App ist mit einem kommerziellen Software-Packer namens qihoo.util gepackt, was die direkte Entschlüsselung von Java-Bytecode aus der APK erschwert.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-06-27
Hacker-News-Kommentare
  • Eine Bluetooth-Autobatterie-Monitoring-App mit mehr als 100.000 Downloads im Google Play Store sendet GPS-, Mobilfunkzellen-ID- und WLAN-Beacon-Daten an Server in Hongkong und auf dem chinesischen Festland.
  • Die App behauptet, keine personenbezogenen Daten zu sammeln oder an Dritte zu senden, aber das stimmt nicht.
  • Nutzer sollten die App beim Start oder im Hintergrund stoppen können, und das Betriebssystem sollte den Internetzugang als Berechtigung ausgestalten, die Nutzer erteilen oder widerrufen können.
  • Es braucht eine Android-Funktion, die auf realen Geräten gefälschte GPS-Daten bereitstellt, damit Apps nicht unnötig Standortdaten sammeln.
  • Nicht nur in China, sondern auf allen Geräten können große Datenmengen gesammelt und übertragen werden.
  • Die US-Regierung sollte aus Gründen der nationalen Sicherheit gegen solche Gerätetypen vorgehen.
  • Auch andere Apps wie Victrons Android-Mobil-App für das Batteriemanagement sammeln Standortdaten.
  • Leser können etwas über Reverse Engineering von Apps für verbundene Geräte lernen.