定位你的到底是 App，还是手机厂商的操作系统？

10 月 6 日，都柏林圣三一学院计算机科学家 Douglas Leith 发表了一篇论文，论文证实了一些 Android 变体“即使在最低配置且手机处于闲置状态时，也会向操作系统开发人员和第三方应用程序传输大量信息”。

Leith 的研究团队检查了三星、小米、华为和 Realme（Oppo）等几个手机品牌，发现这些品牌的 Android 操作系统变体“都向操作系统开发商（OS developer，即三星等）和预装系统应用程序发送大量数据”，而且，他们声称，用户甚至无法选择退出“数据收集”。

他们的研究表明，Android 和 iOS 设备都被发现会收集数据，比如 IMEI 号码、硬件序列号、SIM 序列号、电话号码、设备 ID（UDID、广告 ID、RDID 等）、位置、遥测、cookie、本地 IP 地址、设备 Wi-Fi MAC 地址、手机蓝牙唯一芯片 ID、安全元件 ID（用于 Apple Pay）以及附近设备的 Wi-Fi MAC 地址，但显然这些供应商定制的 Android 版本更加“健谈”。

研究人员指出，三星、小米、Realme 和谷歌都有收集硬件设备标识符以及可重置的标识符。表面上是作为一种隐私保护形式，但是“这意味着当用户重置标识符时，新的标识符值可以轻松地重新链接回同一设备，”他们在论文中解释道，“这在很大程度上阻止了用户重置广告标识符。”

他们进一步指出，厂商还会多方交叉链接收集的数据，例如，在测试的三星手机上，谷歌广告 ID 被发送到三星服务器，三星的几个系统应用依赖于谷歌分析，微软的 OneDrive 系统应用依赖谷歌的推送服务。

同样令人担忧的是其中一些供应商收集用户交互的方式。例如，小米手机的系统应用“com.miui.analytics”传输用户查看屏幕的详细信息，为小米提供用户通话时间的图片。华为手机上的微软 Swiftkey 键盘也有类似的记录。此外，除/e/OS 外，所有手机制造商都会收集手机上安装的所有应用程序列表。

这项研究认为，这些供应商 Android 版本所做的事情已经超出了手机维护所需。“尽管偶尔向操作系统开发人员传输数据以检查更新是可以预料的，但我们观察到三星、小米、华为、Realme 和 LineageOS Android 变体传输的数据远不止于此”，该研究说。“而且我们发现 /e/OS 基本上不收集任何数据，从这个意义上说，它是迄今为止所研究的 Android 操作系统变体中最私密的。”

“我们以前过于关注网络 cookie 和行为不端的应用程序，而忽视了操作系统”，Leith 表示。他希望这项研究能有助于提醒公众和立法者采取行动控制这些数据收集行为。