默认安装在你的智能手机上的系统应用，通常是卸载不掉的，往往并不受关注。但是，对于其他应用程序和服务，用户至少有些选择权，在这种情况下，跟踪和监视功能被镶嵌在了设备的结构当中。

上面所说的是英国爱丁堡大学和爱尔兰都柏林三一学院的研究人员最近联合研究的一些结论。他们研究了四家知名厂商的智能手机，来探寻他们传输了多少信息。作为参考点，他们将结果与基于安卓、LineageOS 和/e/OS 的开源操作系统进行了比较。而这是他们所发现的。

█ 研究方法

为了实验的纯粹性，研究人员为这四款智能手机设定了一个相当严格的操作场景，用户在现实生活中是不太可能会遇到的: 他们假设每部智能手机只用于打电话和发短信；研究人员没有安装任何第三方应用程序；只有制造商安装的应用程序留在设备上。

另外，这些假想用户对所有 "你是否想通过转发数据来改善服务 "这类问题的回答都是否定的，这些问题通常是用户在第一次打开设备时需要回答的。他们没有激活制造商提供的任何像云存储或查找我的设备这类可选服务。也就是说，在整个研究过程中，他们尽可能地让智能手机处于隐私保护和初始的状态。

基础的"间谍追踪"技术在所有此类研究中都是一样的。智能手机连接到作为Wi-Fi 接入点的 Raspberry Pi 微型计算机上。安装在 Raspberry Pi 上的软件拦截并解密来自手机的数据流。然后，数据被重新加密，并传递给手机、应用程序或操作系统的开发者这类接收者。该论文的作者事实上实施了了一次（仁慈的）中间人攻击。

好消息是，所有传输的数据都被加密了。这个行业似乎终于克服了设备、程序和服务器在没有任何保护的情况下进行明文通信的困扰。其实，研究人员花费了大量的时间和精力来破译和分析数据，来弄清楚到底在发送些什么。

此后，研究人员的工作也相对顺利。他们完全删除了每个设备上的数据，并进行了初始化设置。接着，他们在没有登录谷歌账户的情况下，让每部智能手机开机数天，并监测数据的传输情况。接下来，他们用谷歌账户登录，暂时启用地理位置，并花时间在手机的设置上。在每个阶段，他们都监测了哪些数据被发送了，是在哪里发送的。他们总共测试了六部智能手机：四部使用制造商的固件，其他两部使用LineageOSLineageOS和/e/OS开源版本的安卓。

█ 谁收集了这些数据？

研究人员发现，智能手机制造商是主要的收集者。所有四个运行原始固件（和一组预装程序）的设备都将遥测数据，以及设备序列号等持久性标识符转发给了制造商。研究中，论文的作者将标准固件与定制固件进行了划分。

例如，LineageOS 有一个向开发者发送数据的选项（例如用于监测程序的运行稳定性），但禁用该选项会停止数据传输。在工厂模式的设备上，在初始设置期间阻止发送数据确实会减少发送的数据量，但它并不完全切断数据传输。

接下来接收数据的是预装应用程序的开发者。在这里，我们也发现了一个有趣的细微差别。根据谷歌的规则，从 Google Play安装的应用程序必须使用某种标识符来跟踪用户活动--谷歌的广告 ID。如果你愿意，你可以在手机的设置中改变这个标识符。然而，这一要求并不适用于制造商预装的应用程序--它们使用持久性标识符来收集大量数据。

例如，即使机主从未打开过一个预装的社交网络应用，它依旧会将机主的数据发送到自己的服务器上。举个更有趣的例子：一款智能手机上的系统键盘发送了关于哪些应用程序在手机上运行的数据。一些带有运营商应用的设备，也收集了用户的相关信息。

最后，谷歌系统应用程序值得单独提一下。绝大多数手机都安装了 Google Play 服务和 Google Play 商店，一般还安装了 YouTube、Gmail、地图和其他一些应用。研究人员指出，谷歌应用程序和服务收集的数据远远多于其他预装程序。

█  被发送的是哪些数据？

研究人员再次把重点放在识别器上。所有数据都有某种独特的代码来识别发件人。有时，它是一个一次性的代码，这对于隐私来说是收集统计数据的正确方式--例如，关于系统的运行稳定性--开发者认为是有用的。

但也有侵犯用户隐私的长期甚至持久的标识符也被收集。即便，机主可以手动更改上述的谷歌广告 ID，但很少有人这样做。所以我们可以认为这个发送给谷歌和设备制造商的标识符相当于是持久性的。

设备序列号、无线电模块的 IMEI 码和 SIM 卡号码是持久性的标识符。有了设备序列号和 IMEI 码，即使在更换电话号码和完全重置设备后，也可以识别用户。

定期传输有关设备型号、显示屏尺寸和无线电模块固件版本的信息在隐私方面的风险较小；这些数据对同一手机型号的大量用户来说是一样的。但在某些应用程序中的用户活动数据可以揭示出很多关于所有者的信息。此处，研究人员谈到了应用调试所需的数据与像用于定向广告这种可用于创建详细用户档案的信息之间的细微差别。

例如，知道一个应用程序正在吞噬电池寿命，对开发者来说很重要，最终将使用户受益。关于安装了哪些版本的系统程序的数据可以决定何时下载更新，这也是很有用的。但是，收集关于电话的确切开始和结束时间的信息是否值得，或者说是否符合道德，仍然有待商榷。

另一种经常被报道的用户数据是已安装的应用程序的列表。这个列表可以说明很多关于用户的情况，包括例如政治和宗教偏好。

█ 结合来自不同来源的用户数据

尽管研究人员做了详尽的工作，但他们无法获得关于各种手机和软件供应商如何收集和处理用户数据的完整信息。他们不得不做出一些假设。

第一种假设是：收集持久性标识符的智能手机制造商可以追踪用户的活动，即使是该用户删除了手机上的所有数据并更换了 SIM 卡。

第二种假设是：所有的市场参与者都有能力交换数据，而且通过结合持久性和临时性的 ID，加上不同类型的遥测数据，尽可能全面地了解用户的习惯和偏好。这实际上是如何发生的--以及开发商是否真的交换数据，或将其出售给第三方聚合者--超出了本研究的范围。

█ 经验之谈

在隐私方面，名义上的赢家是装有安卓变体/e/OS的手机，它使用自己的类似谷歌游戏的服务，根本没有传输任何数据。另一款采用开源固件（LineageOS）的手机没有向开发者发送信息，而是向谷歌发送，因为其服务被安装在该手机上。这些服务是设备正常运行所需要的--如果没有谷歌游戏服务，一些应用程序和许多功能根本无法运行，或者运行效果不佳。

至于流行制造商的专有固件，几乎没有什么可以区分它们的好坏。他们都以用户关怀为理由，收集了相当多的数据。作者指出，他们基本上无视用户对收集和发送 "使用数据 "的选择。只有更多的法规来确保更大的消费者隐私才能改变这种情况，目前，只有能够安装非标准操作系统（对流行软件的使用有限制）的高级用户才能完全消除遥测。

至于安全问题，收集遥测数据似乎并不构成任何直接风险。这种情况与第三级智能手机完全不同，第三级智能手机上的恶意软件可以直接在工厂安装。

该研究的好消息是，数据传输是相当安全的，这至少使外人很难获得访问。研究人员确实说明了一个重要的注意事项：他们测试了带有本地化软件的欧洲智能手机型号。在其他地方，根据法律和隐私条例，情况可能有所不同。