Descoberto que monitores Bluetooth de bateria de carro estão extraindo dados de localização

 (doubleagent.net)
2 pontos por GN⁺ 2023-06-27 | 1 comentários | Compartilhar no WhatsApp
  • Monitores de bateria de carro com Bluetooth registram a voltagem da bateria e coletam coordenadas de GPS, dados de torres de celular e beacons de Wi-Fi próximos, enviando essas informações para servidores em Hong Kong e na China continental.
  • O app Android exige permissão de localização para usar o dispositivo de hardware, então os usuários precisam transmitir continuamente sua localização física a terceiros para poder usar o produto.
  • As lojas de aplicativos estão induzindo consumidores ao erro ao afirmar que nenhum dado pessoal é coletado ou compartilhado.
  • Isso levanta uma séria preocupação de privacidade, já que não há motivo legítimo para um aplicativo de monitoramento de bateria automotiva rastrear a localização do usuário.
  • O produto já registrou mais de 100 mil downloads só no Android.
  • A biblioteca embarcada usada, AMap, é uma das principais fornecedoras de mapas digitais da China e contribui em parte para essa coleta extensiva de dados.
  • O SDK da AMap coleta coordenadas de GPS, dados de localização de torres de celular adjacentes e pontos de acesso Wi-Fi; na parte 2 da série, o autor explora como a AMap coleta esses dados.
  • O hardware é simples e precisa ser pareado com um smartphone, enquanto o aplicativo necessário roda em segundo plano e transforma o telefone em um dispositivo de varredura de localização.
  • O aplicativo Android precisa de permissão de localização para obter informações de localização, e a versão para iOS também transmite dados de localização para servidores remotos.
  • Mitmproxy é usado para interceptar o tráfego de rede, e Frida é usado para análise dinâmica e análise de memória.
  • O app é empacotado com qihoo.util, um empacotador comercial de software, o que dificulta a descriptografia direta do bytecode Java a partir do APK.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-06-27
Comentários do Hacker News
  • Um app de monitoramento de bateria automotiva via Bluetooth, com mais de 100 mil downloads no Google Play, está enviando dados de GPS, ID de célula de rede móvel e dados de beacons Wi‑Fi para servidores em Hong Kong e na China continental.
  • Embora o app afirme que não coleta informações pessoais nem as envia a terceiros, isso não é verdade.
  • Os usuários deveriam poder interromper o app na inicialização ou em segundo plano, e o sistema operacional deveria transformar o acesso à internet em uma permissão que o usuário possa conceder ou revogar.
  • É necessário um recurso no Android que permita fornecer dados falsos de GPS em dispositivos reais, para impedir que apps coletem dados de localização desnecessários.
  • Não é só na China: qualquer dispositivo pode coletar e transmitir grandes volumes de dados.
  • O governo dos EUA deveria tomar medidas contra esse tipo de dispositivo por razões de segurança nacional.
  • Outros apps, como o app móvel Android da Victron para gerenciamento de baterias, também coletam dados de localização.
  • Os leitores podem aprender sobre engenharia reversa de apps para dispositivos conectados.