Bluetooth’lu araç aküsü monitörünün konum verilerini sızdırdığının keşfedilmesi

 (doubleagent.net)
2 puan yazan GN⁺ 2023-06-27 | 1 yorum | WhatsApp'ta paylaş
  • Bluetooth özelliğine sahip araç aküsü monitörleri, akü voltajını kaydederken GPS koordinatlarını, cep telefonu baz istasyonu verilerini ve yakındaki Wi-Fi beacon’larını toplayıp Hong Kong ve Çin ana karasındaki sunuculara gönderiyor.
  • Android uygulaması, donanım cihazını kullanmak için konum izni gerektirdiğinden kullanıcılar ürünü kullanabilmek için fiziksel konumlarını sürekli olarak üçüncü taraflara yayınlamak zorunda kalıyor.
  • Uygulama mağazaları, hiçbir kişisel bilginin toplanmadığını veya paylaşılmadığını belirterek tüketicileri yanıltıyor.
  • Araç aküsü monitörü uygulamasının kullanıcının konumunu izlemesi için makul bir gerekçe olmadığından ciddi gizlilik endişeleri ortaya çıkıyor.
  • Ürün yalnızca Android’de 100 binden fazla indirme sayısına ulaştı.
  • Kullanılan gömülü kütüphane AMap, Çin’in önde gelen dijital harita sağlayıcılarından biri ve kapsamlı veri toplamaya kısmen katkıda bulunuyor.
  • AMap SDK, GPS koordinatlarını, yakındaki cep telefonu baz istasyonlarının konum verilerini ve Wi-Fi erişim noktalarını topluyor; serinin 2. bölümünde yazar, AMap’in bu verileri nasıl topladığını inceliyor.
  • Donanım basit; akıllı telefonla eşleştirilmesi gerekiyor ve gerekli uygulama arka planda çalışarak akıllı telefonu bir konum tarama cihazına dönüştürüyor.
  • Android uygulaması konum bilgisi almak için konum izni gerektiriyor ve iOS sürümü de konum verilerini uzak sunuculara gönderiyor.
  • Ağ trafiğini yakalamak için Mitmproxy, dinamik analiz ve bellek analizi için ise Frida kullanılıyor.
  • Uygulama, qihoo.util adlı ticari bir yazılım packer’ı ile paketlendiğinden APK içindeki Java bytecode’unu doğrudan çözmek sorun yaratıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-06-27
Hacker News görüşü
  • Google Play'de 100 binden fazla indirilen bir Bluetooth araç aküsü izleme uygulaması, GPS, cep telefonu baz istasyonu hücre kimliği ve Wi‑Fi beacon verilerini Hong Kong ve Çin anakarasındaki sunuculara gönderiyor.
  • Uygulama, kişisel bilgi toplamadığını veya bunları üçüncü taraflara göndermediğini iddia ediyor, ancak bu doğru değil.
  • Kullanıcılar uygulamayı açılışta veya arka planda durdurabilmeli ve işletim sistemi internet erişimini kullanıcının onaylayabileceği ya da geri çekebileceği bir izin hâline getirmeli.
  • Android'de, uygulamanın gereksiz konum verisi toplamasını önlemek için gerçek cihazda sahte GPS verisi sağlayabilen bir özelliğe ihtiyaç var.
  • Yalnızca Çin'deki değil, tüm cihazlar büyük miktarda veri toplayıp iletebilir.
  • ABD hükümeti, ulusal güvenlik gerekçesiyle bu tür cihazlara karşı önlem almalı.
  • Akü yönetimi için Victron'un Android mobil uygulaması gibi diğer uygulamalar da konum verisi topluyor.
  • Okurlar, bağlı cihazlara yönelik uygulamalarda tersine mühendislik hakkında bilgi edinebilir.