中国国内で販売されているAndroid携帯には、ユーザーへ知らされる事のないまま個人情報を第三者に送信するプリインストール・アプリが詰め込まれている為、旅行などで行った際には購入しないようにと警告されています。
エディンバラ大学がOnePlus、Xiaomi、Oppoの3社のスマホにインストールされているAndroidシステムアプリを分析した所、Baiduのようなサービスプロバイダと中国のモバイルネットワーク事業者に個人を特定できる情報 (PII) を送信している事を発見しました。
彼等はこの分析についてのレポートを発表し、「中国は現在、Androidスマートフォンのユーザー数が最も多い国である。我々は、静的および動的なコード解析技術を組み合わせて、中国で最も人気のある3つのベンダーのAndroidスマートフォンにプリインストールされているシステムアプリが送信するデータを調査した。その結果、非常に多くのプリインストールされたシステムアプリ、ベンダーアプリ、サードパーティアプリが、危険な権限を付与されている事がわ分かりました。」と述べています。
彼等がテストした中国Androidスマホでは、SIMカードを抜いた状態でも個人情報がBaiduなどに送信されていた様です。
エディンバラ大学の研究者は「私たちが観測した中国のAndroidスマホが送信しているデータには、位置識別子(GPS座標、モバイルネットワークのセルIDなど)、ユーザープロファイル(電話番号、アプリ使用パターン、アプリ遠隔測定)、通話記録/SMS履歴/時間、連絡先の電話番号などが含まれていました。」
「特に中国では、すべての電話番号が市民IDに紐付けられ登録されている為、これらの情報を組み合わせると、ユーザーの匿名化解除と深刻な個人追跡リスクが生じます。」と述べています。
例として、ユーザーが電話、メッセージ、カメラアプリ、メモ、レコーダーを開いて使用するたびにスマホがデータを送信すると指摘。
OnePlus、Xiaomi、Oppoのスマホからのデータ収集は、デバイスが中国を離れても変わらないとも。
この事によって、中国企業が中国人海外旅行者や中国人留学生の海外での様子を追跡し、彼らの外国での連絡先について何か知る事ができることを意味すると研究者達は警告しています。
レポートの結論
この研究では、Xiaomi、Realme、OnePlusの端末で実行されるAndroid OSが生成するネットワークトラフィックを測定しました。
これらの端末には多くのサードパーティアプリケーションが組み合わされており、その内のいくつかはユーザーの同意なしにデフォルトで危険な実行権限を付与され、ユーザーの位置情報、ユーザープロファイル、社会的関係を含むやり取りを、ユーザーに通知したりオプトアウトする選択肢を提供せずに、携帯電話ベンダーとサードパーティのドメインの両方に送信している事が分かりました。
一方、グローバル版ファームウェア(中国以外の国に出荷するスマホ)が共有するデータは、ほとんどがデバイス固有の情報に限定されています。
この事から分かる事は、中国国内でこうしたスマホを持って日本や欧米に来ている中国の方はスマホを通して監視されている可能性があり、誰と会っているのか?どこに居るのか?等、本国に筒抜けになっている可能性もあります。
中国政府に悪用された場合、どの様な影響があるのか想定しておく必要があるかもしれません。