Android volá domů

2019-12-17

Jedna malá krabička, kterou nosíte s sebou, ví naprosto přesně, kde jste před rokem byli, kolik jste utratili za oběd, kam jste večer šli do kina a jak se vám to líbilo. Taky kdo byl s vámi a s kým jste se o tom bavili.
TL;DR: Telefon agreguje obrovské množství dat o vašem životě, a občas o tom povídá tomu, kdo ho vyrobil.

Zvlášť čínské telefony to mají v oblibě. Média zaměstnává firma Huawei, ale mezi další u nás působící výrobce patří Xaomi, Honor, Doogee, Cubot, Meizu nebo BlackView, když narychlo projdu nabídku Alzy. Proti Číně nyní ostřeji než kdy dříve varuje i NATO ‒ sice spíš v kontextu switchů a internetové infrastruktury, ale sběr dat a útok na slabé části jdou ruku v ruce.

Konkrétně tady můžu předložit malou analýzu dat telefonu DooGee MIX a jeho aplikace domovské obrazovky com.freeme.freemelite.odm (≠Freemee Launcher na Google Play, ale něco podobného). Jde o data sesbíraná během léta 2018:

IP              ROZSAH           ORGANIZACE
3.0.228.151     3.0.0.0/15       Amazon Data Services Singapore
13.228.223.71   3.228.0.0/14     Amazon Technologies Inc.
34.213.118.203  34.192.0.0/10    Amazon Technologies Inc.
47.90.22.31     47.88.0.0/14     Alibaba.com LLC
52.17.31.196    52.0.0.0/11      Amazon Technologies Inc.
52.214.91.42    52.208.0.0/13    Amazon Data Services Ireland Limited
103.235.44.0    103.235.44.0/22  Baidu (Hong Kong) Limited
119.29.42.130   119.28.0.0/15    Tencent cloud computing (Beijing) Co., Ltd.
210.14.131.18   210.14.128.0/20  Beijing ShuJuJia Technology Co., Ltd.

URL                                                 2019-08                2019-12
ec2-34-255-187-254.eu-west-1.compute.amazonaws.com  duba.com               daazo (1)
ec2-34-255-238-128.eu-west-1.compute.amazonaws.com  duba.com               "Service Unavailable"
ec2-52-10-0-234.us-west-2.compute.amazonaws.com
ec2-52-17-31-196.eu-west-1.compute.amazonaws.com    nasdaqmarket.info (2)  Scumblr login (3)
ec2-52-17-73-196.eu-west-1.compute.amazonaws.com    Error 403
ec2-52-214-188-186.eu-west-1.compute.amazonaws.com  Error 403
ec2-52-214-66-6.eu-west-1.compute.amazonaws.com     duba.com
ec2-52-215-22-77.eu-west-1.compute.amazonaws.com    duba.com

(1): Snaží se tvářit jako daazo.com, ale obsahuje jen pár nefunkčních tlačítek, využívá JQTouch a jQuery ve verzích z roku 2010, celé to působí psané ručně ‒ zakomentované části kódu bez dokumentace či jasného smyslu.
(2): Přesměrování vedlo na login okno bez bližší identifikace, ale s akciemi to pocitově moc společného nemělo.
(3): Pravděpodobně Scrumblr, synchronizace a analýza dat od Neflixu.

Dazoo

Jako cokoliv oficiálního to moc nevypadá.

Není to kompletní výčet, v nasbíraných datech je z jednoho rozsahu adres víc. URL jsou získané samotnou aplikací, a cíle byly buď přesměrovány (především srpnový sloupec), nebo hostovány přímo na dané URL (všechny v prosinci). Také je potřeba zmínit, že šlo o běh na pozadí, protože jsem jako launcher používal Lawnchair.

Co asi s mými daty dělá Alibaba? Nebo Baidu? Nebo Duba? Nevím, ale všechny si dobře rozumí s komunistickou stranou, a to stačí.

Data ukázaná výše jsem získal pomocí aplikace Net Monitor (Android 5.1 ‒ 9, ve verzi 10 nefunguje kvůli zabezpečení souborů v /proc). Komu už desítka běží, může místo toho nainstalovat Blokadu, která sice nepozná, která aplikace data odesílá, ale protože interně používá VPN API, může nepřijatelnou doménu odříznout, nebo aplikaci, která nemá co na internetu dělat, připojení odmítne.

Net Monitor a Blokada

Takto můžete pěkně vidět, že váš systém hledá aktualizace pomocí nešifrovaného HTTP kanálu (vlevo) nebo že je schopný během jediného dne poslat víc než tisíc zpráv domů (veprostřed).

Na závěr ještě třešnička na dortu: aplikace Wireless Update viditelná výše byla vyhodnocena jako trojský kůň. To asi aby alespoň něco dělala ‒ poslední aktualizace pro telefon vyšla totiž v lednu 2018.

Update