作者 | Tina

10 月 6 日，都柏林聖三一學院計算機科學家 Douglas Leith 發表了一篇論文（https：//www。scss。tcd。ie/Doug。Leith/Android_privacy_report。pdf），論文證實了一些 Android 變體“即使在最低配置且手機處於閒置狀態時，也會向作業系統開發人員和第三方應用程式傳輸大量資訊”。

Leith 的研究團隊檢查了三星、小米、華為和 Realme（Oppo）等幾個手機品牌，發現這些品牌的 Android 作業系統變體“都向作業系統開發商（OS developer，即三星等）和預裝系統應用程式傳送大量資料”，而且，他們聲稱，使用者甚至無法選擇退出“資料收集”。

他們的研究表明，Android 和 iOS 裝置都被發現會收集資料，比如 IMEI 號碼、硬體序列號、SIM 序列號、電話號碼、裝置 ID（UDID、廣告 ID、RDID 等）、位置、遙測、cookie、本地 IP 地址、裝置 Wi-Fi MAC 地址、手機藍芽唯一晶片 ID、安全元件 ID（用於 Apple Pay）以及附近裝置的 Wi-Fi MAC 地址，但顯然這些供應商定製的 Android 版本更加“健談”。

研究人員指出，三星、小米、Realme 和谷歌都有收集硬體裝置識別符號以及可重置的識別符號。表面上是作為一種隱私保護形式，但是“這意味著當用戶重置識別符號時，新的識別符號值可以輕鬆地重新連結回同一裝置，”他們在論文中解釋道，“這在很大程度上阻止了使用者重置廣告識別符號。”

他們進一步指出，廠商還會多方交叉連結收集的資料，例如，在測試的三星手機上，谷歌廣告 ID 被髮送到三星伺服器，三星的幾個系統應用依賴於谷歌分析，微軟的 OneDrive 系統應用依賴谷歌的推送服務。

同樣令人擔憂的是其中一些供應商收集使用者互動的方式。例如，小米手機的系統應用“com。miui。analytics”傳輸使用者檢視螢幕的詳細資訊，為小米提供使用者通話時間的圖片。華為手機上的微軟 Swiftkey 鍵盤也有類似的記錄。此外，除 /e/OS 外，所有手機制造商都會收集手機上安裝的所有應用程式列表。

這項研究認為，這些供應商 Android 版本所做的事情已經超出了手機維護所需。“儘管偶爾向作業系統開發人員傳輸資料以檢查更新是可以預料的，但我們觀察到三星、小米、華為、Realme 和 LineageOS Android 變體傳輸的資料遠不止於此”，該研究說。“而且我們發現 /e/OS 基本上不收集任何資料，從這個意義上說，它是迄今為止所研究的 Android 作業系統變體中最私密的。”

“我們以前過於關注網路 cookie 和行為不端的應用程式，而忽視了作業系統”，Leith 表示。他希望這項研究能有助於提醒公眾和立法者採取行動控制這些資料收集行為。