Descubren que un monitor Bluetooth para batería de auto está extrayendo datos de ubicación

 (doubleagent.net)
2 puntos por GN⁺ 2023-06-27 | 1 comentarios | Compartir por WhatsApp
  • Los monitores de batería para auto con Bluetooth registran el voltaje de la batería y recopilan coordenadas GPS, datos de torres celulares y balizas Wi-Fi cercanas para enviarlos a servidores en Hong Kong y China continental.
  • La app de Android requiere permiso de ubicación para usar el dispositivo de hardware, por lo que los usuarios deben transmitir continuamente su ubicación física a terceros para poder usar el producto.
  • Las tiendas de aplicaciones engañan a los consumidores al indicar que no se recopilan ni comparten datos personales.
  • Esto plantea serias preocupaciones de privacidad, ya que no existe una razón legítima para que una aplicación de monitoreo de batería de auto rastree la ubicación del usuario.
  • El producto ya supera las 100 mil descargas solo en Android.
  • La biblioteca integrada utilizada, AMap, es uno de los principales proveedores de mapas digitales en China y contribuye en parte a esta amplia recolección de datos.
  • El SDK de AMap recopila coordenadas GPS, datos de ubicación de torres celulares adyacentes y puntos de acceso Wi-Fi; en la segunda parte de la serie, el autor explora cómo AMap recopila estos datos.
  • El hardware es simple, requiere emparejarse con un smartphone, y la aplicación necesaria se ejecuta en segundo plano, convirtiendo el teléfono en un dispositivo de escaneo de ubicación.
  • La aplicación de Android necesita permiso de ubicación para obtener información de ubicación, y la versión de iOS también envía datos de ubicación a servidores remotos.
  • Se usa Mitmproxy para interceptar el tráfico de red, y Frida para análisis dinámico y análisis de memoria.
  • La app está empaquetada con qihoo.util, un empaquetador comercial de software, lo que dificulta descifrar directamente el bytecode Java desde el APK.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-06-27
Opinión de Hacker News
  • Una app de monitor Bluetooth para baterías de auto, con más de 100 mil descargas en Google Play, está enviando datos de GPS, ID de celdas de telefonía móvil y balizas Wi‑Fi a servidores en Hong Kong y China continental.
  • Aunque esta app afirma que no recopila información personal ni la envía a terceros, eso no es cierto.
  • Los usuarios deberían poder detener la app al iniciarla o cuando corre en segundo plano, y el sistema operativo debería convertir el acceso a Internet en un permiso que el usuario pueda aprobar o revocar.
  • Hace falta una función de Android que permita suministrar datos GPS falsos en dispositivos reales para evitar que las apps recopilen datos de ubicación innecesarios.
  • No solo en China: cualquier dispositivo puede recopilar y transmitir grandes volúmenes de datos.
  • El gobierno de Estados Unidos debería tomar medidas contra este tipo de dispositivos por razones de seguridad nacional.
  • Otras apps, como la app móvil de Android de Victron para la gestión de baterías, también recopilan datos de ubicación.
  • Los lectores pueden aprender sobre ingeniería inversa de apps para dispositivos conectados.