2010年5月20日三藩市舉行谷歌會上展出的安卓智能手機
中國流行使用安卓(Android)系統智能電話,但有學者發現,部分中國品牌在中國國內發售的版本有安全隱憂,因此呼籲用戶要注意,考慮採用阻擋訊息流出的措施。
一項新研究發現,三家中國品牌在中國境內發售的安卓系統手提電話會在用戶不知道的情況下,向中國多地發送「驚人數量的」用戶資訊,而即使用戶在外地使用這些電話,相關的資訊流出亦未有停止。
該研究由愛丁堡大學(University of Edinburgh)和都柏林聖三一學院(Trinity College Dublin)的學者進行。愛丁堡大學訊息學學者帕特拉斯(Paul Patras)對美國之音說,中國擁有全世界最大的安卓電話用戶量,於是決定研究三款在中國流行的電話,包括Xiaomi(小米)的Redmi Note11、OnePlus(一加)的9R,和Realme(真我)品牌旗下的Q3Pro。
他說:「我們的研究發現,對比舉例說為歐洲市場製造的電話,為中國市場製造的電話會披露大約三至四倍的資訊,而用戶沒有能力退出。你可以說,單獨來看,有些資訊對使用一些服務是必要的,例如供應商需要知道應用程式和系統的版本來提供軟件更新,又或是一個地圖程式需要知道用戶在哪裹才能提供與地點相關的服務。但我們覺得奇怪的是,不少服務抽取不少種類的資訊,加起來就會透露個別用戶過多的資訊,構成私隱流出問題。」
中國版本電話發送大量資訊
帕特拉斯說,用戶不能在電話上得知什麼資訊有被流出,研究員需要使用中間代理人技術(Man-in-the-Middle Proxy)截取電話發出的訊息並作解讀。這項研究觀察四種資訊有否被流出,包括系統資訊、地點資訊、用戶個人資訊以及社會關係資訊。涵蓋電話編號、全球定位系統資訊(GPS)、接駁過的及鄰近的Wi-Fi伺服站、電話號碼、有什麼應用程式及使用情況、通話及短訊紀錄等等。
他說:「這些資訊可能會被利用作不道德用途。例如,你有特定的宗教信仰或性取向,並使用相關的應用程式,例如穆斯林利用作祈禱,或你不是異性戀者,並使用一些交友軟件。我認為這些都是十分私人的資訊,我們不會希望電話系統向任何人披露這些資料。」
帕特拉斯指,中國的電話號碼是一個半永久的身份標識符,政府很容易透過電話號碼辯認用戶身份。他說,大部分的資訊會被送到一些在北京的伺服器,很多地點資訊會被送到在杭州的伺服器,其他資訊則被送到廣州、西安、深圳以及南京。
資訊在海外被傳送到中國聯通
他又說:「有一項我們覺得有點可疑的是,這些電話安裝了中國聯通(China Unicom)的軟體開發套件(Software development kit,SDK),假設你把這些電話帶到英國,使用英國的電話卡,該軟體開發套件仍會繼續運作,並會發送資訊到中國聯通。我們不知道這些資訊會有什麼用途,但這些資訊在用戶不知情下被發送,是有點令人擔心。」
帕特拉斯說,研究員無從得知中國廠商為什麼會這樣做,他們有向三家廠商查詢,只有「真我」品牌有回覆說,重視用戶私隱,用戶有權退出(opt-out)。帕特拉斯說,這個說法與研究發現並不相符。
不過,帕特拉斯也指出,中國廠商在中國境外發售的電話會「大體上配合」當地的保障私隱法律,例如是歐盟的「一般資料保護規則」(General Data Protection Regulation,GDPR)。若果用戶使用研究中的「小米」和「真我」電話的歐洲版本,這些電話就不會發送通話及短訊紀錄。
「用戶沒有太多選擇」
帕特拉斯說,用戶可以嘗試更改電話的系統,但他提醒用戶這種做法有可能會令電話受損。用戶亦可以安裝阻止電話發送資訊的應用程式,但中國用戶不能使用安卓系統的Google Play商店,或會讓他們難以獲得相關的應用程式。他說,更重要的是用戶對於私隱有更大的關注度。
他指,美國一些州份、加拿大及韓國有相關的私隱法例保障用戶,但關鍵是執法究竟有多嚴格。
他說:「我們無法避免使用手提電話,我們依賴它們,放很多資料進去,所以除非有法律更嚴格地規定什麼資訊可以被收集,我恐怕用戶沒有太多選擇。」
