Pixel 9 Pro XL 手机私自上传用户隐私数据

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

科技媒体 Cybernews 昨日（ 10 月 4 日）发布博文，其安全团队通过抓包谷歌 Pixel 9 Pro XL 的网络流量，发现该智能手机每隔 15 分钟向谷歌发送隐私数据。

安全研究专家 Aras Nazarovas 使用“man-in-the-middle”中间人方式，拦截了新款 Pixel 9 Pro XL 与谷歌服务器之间的通信。

在一部全新手机上，使用新的 Google 账户和默认设置，他们安装了 Magisk 应用以获取对手机系统的深层（ root ）访问。

原文链接
https://cybernews.com/security/google-pixel-9-phone-beams-data-and-awaits-commands/

网络流量分析显示，Pixel 设备不断向多个谷歌端点发送可识别个人身份的信息（ PII ），例如用户的电子邮件地址、电话号码和位置信息，包括设备管理、政策执行和面部分组。

每 15 分钟，设备向一个名为“auth”的端点发送常规认证请求。

手机每 40 分钟还会请求一个“check-in”端点，列出手机启用的低级功能，例如固件版本、是否连接 WiFi 或使用移动数据、SIM 卡运营商以及用户的电子邮箱地址。

8 条回复 • 2024-10-07 13:35:32 +08:00

hefish

12 天前

政策执行是哪方面的数据？他能在线更新到最新的全球政治经济政策吗？咳咳

vcn8yjOogEL

12 天前

遥测而已
硬件不依赖系统发数据才是大新闻

whileFalse

12 天前

听起来不是什么大事，国产手机也这么干

换句话说国产手机这么干不是什么大事，谷歌也这么干

patrickyoung

12 天前 via Android

我怎么觉得是 find my device

Biggoldfish

12 天前

搞什么大新闻，买了一个 Google 手机，"使用新的 Google 账户和默认设置" 同意了一堆用户协议，然后惊讶手机会跟 Google 服务通讯...

这跟所有手机会连接基站发送信息给运营商、Apple 设备会连接 Apple 服务器、Windows 设备会连接 Microsoft 服务器一样正常人都觉得天经地义的事情

而且 Pixel 完全可以一键解锁 bootloader 然后刷成 AOSP/Lineage OS/GrapheneOS 等不带 GMS 的系统甚至还支持刷完重新锁上 BL

VYSE

12 天前 via Android

这俩不是 gsf 框架的接口么？之前爬 apk 用过

SIEMENS

10 天前 via Android

研究：谷歌新款 Pixel 手机会定时抓取隐私数据

Cyber news 安全研究员 Aras Nazarovas 表示：“Google Pixel 9 Pro XL 每隔 15 分钟就会向 Google 发送一个数据包。该设备会共享位置、电子邮件地址、电话号码、网络状态和其他遥测数据。更令人担忧的是，这款手机会定期尝试下载并运行新代码，这可能会带来安全风险。”

该手机还会每 40 分钟左右请求一次“签到”端点，列出手机上启用的低级功能，例如固件版本、是否连接到 WiFi 或使用移动数据、SIM 卡运营商以及用户的电子邮件地址。即使 GPS 被禁用，位置数据也会包含在请求中 - 然后手机会依靠附近的 Wi-Fi 网络来估计位置。

Cyber news 研究人员一次也没有打开照片应用，也没有拍摄任何照片。然而，Pixel 设备会在未经同意的情况下定期联系与 Google Photos 人脸分组功能关联的端点。

—— Cyber news

SIEMENS

10 天前 via Android

看了下原文，看起来像是设备和服务端之间的 beacon 通信，也就是用户设备定时发送设备状态信息到服务端，以便服务端根据设备状态信息采取不同响应。这个应该是 android 手机的 google 账户服务的一部分。