Ditemukan bahwa monitor baterai mobil Bluetooth mencuri data lokasi

 (doubleagent.net)
2 poin oleh GN⁺ 2023-06-27 | 1 komentar | Bagikan ke WhatsApp
  • Monitor baterai mobil yang dilengkapi Bluetooth mencatat tegangan baterai sambil mengumpulkan koordinat GPS, data menara seluler ponsel, dan beacon Wi-Fi di sekitarnya, lalu mengirimkannya ke server di Hong Kong dan Tiongkok daratan.
  • Aplikasi Android memerlukan izin lokasi untuk menggunakan perangkat keras tersebut, sehingga pengguna harus terus-menerus menyiarkan lokasi fisik mereka kepada pihak ketiga agar dapat memakai produk ini.
  • App store menyesatkan konsumen dengan menyatakan bahwa tidak ada informasi pribadi yang dikumpulkan atau dibagikan.
  • Karena tidak ada alasan yang masuk akal bagi aplikasi monitor baterai mobil untuk melacak lokasi pengguna, hal ini menimbulkan masalah privasi yang serius.
  • Produk ini telah mencatat lebih dari 100 ribu unduhan hanya di Android.
  • Pustaka tertanam yang digunakan, AMap, adalah salah satu penyedia utama peta digital di Tiongkok dan turut berkontribusi pada pengumpulan data yang luas.
  • SDK AMap mengumpulkan koordinat GPS, data lokasi menara seluler terdekat, dan access point Wi-Fi; pada bagian kedua dari seri ini, penulis menelusuri bagaimana AMap mengumpulkan data tersebut.
  • Perangkat kerasnya sederhana dan harus dipasangkan dengan smartphone, sementara aplikasi yang diperlukan berjalan di latar belakang dan mengubah smartphone menjadi perangkat pemindai lokasi.
  • Aplikasi Android memerlukan izin lokasi untuk memperoleh informasi lokasi, dan versi iOS juga mengirimkan data lokasi ke server jarak jauh.
  • Mitmproxy digunakan untuk mencegat lalu lintas jaringan, dan Frida digunakan untuk analisis dinamis serta analisis memori.
  • Aplikasi ini dipaketkan dengan software packer komersial bernama qihoo.util, sehingga mendekripsi bytecode Java langsung dari APK menjadi sulit.

Bacaan terkait

1 komentar

 
GN⁺ 2023-06-27
Komentar Hacker News
  • Aplikasi monitor baterai mobil Bluetooth yang telah diunduh lebih dari 100 ribu kali di Google Play mengirimkan data GPS, cell ID menara seluler, dan beacon Wi‑Fi ke server di Hong Kong dan Tiongkok daratan.
  • Aplikasi ini mengklaim tidak mengumpulkan informasi pribadi atau mengirimkannya ke pihak ketiga, tetapi itu tidak benar.
  • Pengguna seharusnya dapat menghentikan aplikasi saat mulai berjalan atau saat berada di latar belakang, dan sistem operasi seharusnya menjadikan akses internet sebagai izin yang bisa disetujui atau dicabut oleh pengguna.
  • Diperlukan fitur Android yang dapat memberikan data GPS palsu pada perangkat nyata agar aplikasi tidak mengumpulkan data lokasi yang tidak perlu.
  • Bukan hanya Tiongkok, semua perangkat dapat mengumpulkan dan mengirimkan data dalam jumlah besar.
  • Pemerintah AS harus mengambil tindakan terhadap jenis perangkat seperti ini dengan alasan keamanan nasional.
  • Aplikasi lain seperti aplikasi mobile Android Victron untuk pengelolaan baterai juga mengumpulkan data lokasi.
  • Para pembaca dapat belajar tentang rekayasa balik aplikasi untuk perangkat yang terhubung.