I ricercatori di Cybernews hanno analizzato il traffico web del nuovo smartphone Pixel 9 Pro XL, concentrandosi su ciò che un nuovo smartphone invia a Google. I risultati mostrano che l’ultimo smartphone di punta di Google solleva preoccupazioni sulla privacy e la sicurezza degli utenti. Trasmette frequentemente dati privati degli utenti al gigante della tecnologia prima che venga installata qualsiasi app. Inoltre, il team di ricerca ha scoperto che potenzialmente ha capacità di gestione remota senza consapevolezza o approvazione dell’utente.
Cosa sappiamo sul Pixel 9 Pro XL e sulla tutela della privacy per gli utenti
“Ogni 15 minuti, Google Pixel 9 Pro XL invia un pacchetto dati a Google. Il dispositivo condivide posizione, indirizzo e-mail, numero di telefono, stato della rete e altri dati di telemetria. Ancora più preoccupante, il telefono tenta periodicamente di scaricare ed eseguire nuovo codice, aprendo potenzialmente rischi per la sicurezza”, ha affermato Aras Nazarovas, ricercatore di sicurezza presso Cybernews.
Cybernews ha contattato Google in merito a queste scoperte. Tuttavia, i ricercatori non hanno ottenuto una risposta prima della pubblicazione. I punti cardine della ricerca sul nuovo Pixel 9 Pro XL sono sostanzialmente i seguenti:
- Informazioni private venivano ripetutamente inviate in background, tra cui l’indirizzo email dell’utente, il numero di telefono, la posizione, l’elenco delle app e altri dati di telemetria e statistiche a vari endpoint Google, tra cui Gestione dispositivi, Applicazione criteri e Raggruppamento volti.
- Ogni 15 minuti, il dispositivo invia una richiesta di autenticazione regolare a un endpoint denominato “auth”.
- Il telefono richiede anche un endpoint di “check-in” circa ogni 40 minuti.
- Il telefono richiede costantemente nuovi “esperimenti e configurazioni”, tenta di accedere all’ambiente di staging e si connette agli endpoint di gestione dispositivi e applicazione criteri, suggerendo le capacità di controllo remoto di Google.
- Il dispositivo Pixel si è connesso a servizi che non sono stati utilizzati, né è stato fornito un consenso esplicito, come gli endpoint di Raggruppamento volti, causando problemi di privacy e proprietà.
Un’altra funzionalità di Google, Ricerca vocale, si connetteva ai suoi server sporadicamente, a volte ogni pochi minuti, a volte non comunicava per ore. Inviava dati potenzialmente eccessivi e sensibili, tra cui il numero di volte in cui il dispositivo è stato riavviato, il tempo trascorso dall’accensione e un elenco di app installate sul dispositivo, comprese quelle caricate lateralmente.
Inoltre, il dispositivo Pixel chiama periodicamente un servizio di ambiente di staging (‘enterprise-staging.sandbox’) e tenta di scaricare asset che non esistono ancora. Ciò rivela la capacità di installare da remoto nuovi pacchetti software. L’app calcolatrice, in alcune condizioni, fa trapelare la cronologia dei calcoli a utenti non autenticati con accesso fisico.