Douglas J. Leith på Trinity College i Dublin har publicerat en forskningsrapport där han visar hur Apples IOS och Googles Android ansluter till servrar hos respektive företag även när du har valt att inte logga in på Icloud/Google och har tackat nej på alla frågor om att dela data med företagen.

Undersökningen utfördes genom att installera ett falskt rootcertifikat på en Pixel 2 med Android 10 och en Iphone 8 med IOS 13.6.1 (jailbreakad för att kunna kringgå certifikatkontroll). Båda telefonerna anslöts till en dator inställd som wifi-accesspunkt, på vilken han körde programmet mitmproxy som agerar så kallad ”man in the middle” och snappar upp all krypterad trafik mellan enheterna och Apples/Googles servrar.

En nyare Iphone med IOS 14 gick inte att använda i testet eftersom det inte finns något sätt att jailbreaka dessa. Utan jailbreak kan IOS inte luras av en man-in-the-middle-attack.

Douglas J. Leith kontrollerade trafiken från telefonerna till servrar:

  • När de först startas och aktiveras.
  • När ett sim-kort tas ut eller stoppas in.
  • När den ligger i vila.
  • I inställningsappen.
  • När platstjänsten slås av och på.
  • När du loggar in i App Store/Play-butiken.

Resultaten visar att båda systemet skickar många uppgifter till sina respektive skapare. Allt från imei-kod och telefonnummer till plats och telemetridata. När telefonerna ligger i vila ansluter båda ungefär var 4,5:e minut.

En stor skillnad mellan de båda systemen är att Android skickar nästan tjugo gånger mer data till Google än vad IOS skickar till Apple, hävdar forskaren. Google säger i ett uttalande till Ars Technica att detta är fel och ett missförstånd:

"Undersökningen visar i princip hur smarta mobiler fungerar. Moderna bilar skickar regelbundet grundläggande data om fordonets komponenter, säkerhetsstatus och serviceintervaller till biltillverkare, och mobiltelefoner fungerar på ett liknande sätt. Den här rapporten preciserar den här kommunikationen, som ser till att hålla IOS eller Android uppdaterat, att tjänster fungerar som tänkt, och att telefonen är säker."

En talesperson för Apple säger till Ars Technica att rapporten innehåller missförstånd, att Apple är tydligt med vad som samlas in, och att Apple använder tekniker som hindrar företaget från att använda platstjänster för att spåra användare.

Rapporten reser intressanta frågor, inte minst om hur detaljerat teknikföretagen ska förväntas beskriva alla anslutningar som sker från produkter med hundratals funktioner och tjänster som alla kräver internetanslutningar för att fungera.

Vi har läst rapporten och noterar att Douglas J. Leith inte ser ut att ha gjort några ansträngningar att kolla upp vad olika tjänster faktiskt gör och varför de kan behöva skicka uppgifterna som skickas. Ett exempel från IOS är en anslutning till https://lcdn-locator.apple.com/lcdn/locate från en process som heter ”AssetCacheLocatorService”.

Det är en process som används för att se till att IOS (och Mac OS och andra Apple-system) hämtar system- och programuppdateringar från en lokal cache-server om någon finns tillgänglig på det nätverk du är ansluten till. Om det inte fungerar måste varje enhet hämta uppdateringar var för sig över internet, vilket blir både långsamt och ineffektivt så fort fler än några stycken enheter samsas om samma uppkoppling.

Det här är bara ett exempel vi hittat och det kan finnas fler, både på IOS och Android, där rapporten inte går inte på vad som faktiskt skickas till tillverkarna och varför.

Rapporten har publicerats direkt och inte i någon vetenskaplig tidsskrift, och har därför inte referentgranskats. Det innebär dock inte i sig att forskningen inte är gediget genomförd, och som med all forskning som visar något nytt finns behov av bekräftande studier.