Decompiling Sanchar Saathi: Code Review of India's New Mandatory App
6 months ago
- #security
- #privacy
- #surveillance
- Sanchar Saathi应用是一款用于设备验证和欺诈举报的政府公用程序。
- 关键发现:该应用拥有对短信内容和通话记录的完全访问权限,包括联系人姓名。
- 高风险:使用MediaDrm UUID进行持久设备追踪,该标识符在恢复出厂设置后仍存在。
- 积极方面:本地数据存储采用SQLCipher AES-256加密。
- 中等风险:未实施证书锁定,易受中间人攻击。
- 低风险:具备完善的Root检测和防篡改机制。
- 收集的数据包括短信内容、含联系人姓名的通话记录、持久设备ID和SIM卡信息。
- 该应用在预期用途下是安全的,但所需权限过多,存在重大隐私影响。
- 建议:仅在需要时授予权限,定期审查权限设置,并了解数据收集范围。
- 最终结论:应用合法但具备可能被滥用的广泛监控能力。