Các nhà nghiên cứu đã kiểm tra phiên bản Android trên các thiết bị Xiaomi, Realme và OnePlus. Để nhìn vào dữ liệu mà các ứng dụng cài sẵn chuyển đi, họ sử dụng kỹ thuật phân tích mã tĩnh và động rồi tính toán lưu lượng mạng phát sinh trên thiết bị.

Nghiên cứu chỉ ra, một số ứng dụng cài sẵn và ứng dụng bên thứ ba mặc định được cấp quyền thời gian chạy (runtime) nguy hiểm mà người dùng không hề hay biết. Chúng chuyển đi các dữ liệu như vị trí địa lý, hồ sơ người dùng, quan hệ xã hội (thông tin có thể định danh cá nhân) đến tên miền của nhà sản xuất và bên thứ ba. Người dùng không được thông báo, cũng như không có lựa chọn thoát khỏi hành vi này.

Các gói dữ liệu chuyển đến tên miền bên thứ ba chứa thông tin nhạy cảm như tọa độ GPS, số nhận dạng liên quan đến mạng, số điện thoại, dữ liệu sử dụng ứng dụng và lịch sử cuộc gọi. Trong khi đó, phiên bản Android trên điện thoại của các nhà sản xuất khác chủ yếu chỉ gửi đi thông tin về thiết bị. Các nhà khoa học cho rằng nó phản ánh sự khác biệt về thi hành điều khoản quyền riêng tư giữa các khu vực khác nhau.

Điều đáng chú ý là hành vi chuyển dữ liệu không dừng lại ngay cả khi người dùng và thiết bị đã rời khỏi Trung Quốc, bất chấp mỗi nước có quy định quyền riêng tư khác nhau. Ngoài ra, dữ liệu còn bị phát hiện gửi cho nhà mạng dù họ không cung cấp dịch vụ.

Theo các nhà nghiên cứu, điều này tiềm ẩn rủi ro theo dõi và hủy ẩn danh (deanonymization) bên ngoài Trung Quốc. Vì vậy, nhóm tác giả kêu gọi sự cần thiết phải siết chặt quyền riêng tư để “tăng niềm tin của mọi người vào các công ty công nghệ”.