Nitrokey, firma ochroniarska, znaleziony że niektóre modele smartfonów wyposażone w procesory Snapdragon wysyłają dane osobowe użytkowników do firmy Qualcomm, producenta chipów do smartfonów i nie tylko, w nieautoryzowany sposób. Te dane pochodzą wysyłane bez zgody użytkowników oraz w postaci niezaszyfrowanej, co oznacza, że można je łatwo przechwycić i złamać.
AKTUALIZACJA NA KONIEC ARTYKUŁU
Brzydka historia, która „rzuca błotem” na Qualcomma: procesory Snapdragon oskarżone o wysyłanie danych do firmy bez zgody użytkownika
Eksperci zauważyli, że procesory Qualcomm ominąć ustawienia zabezpieczeń oraz mechanizmy Androida, przesyłanie danych nawet na asemblerach bez usług Google. To nietypowe zachowanie zaobserwowano w smartfonie Sony Xperia XA2 wyposażonym w system operacyjny typu open source /e/ OS. Podczas testu ruch generowany przez urządzenie był monitorowany za pomocą oprogramowania Wireshark, narzędzie służące do analizowania ruchu sieciowego. Eksperci od razu zauważyli jeden żądanie do android.clients.google.com, mimo że na urządzeniu nie było aplikacji Google. Następnie urządzenie wysłało żądanie do connection.ecloud.global, którym według twórców /e/OS jest zamiennik narzędzia do sprawdzania połączeń z serwerami Google.
Po szeroko zakrojonych badaniach stwierdzono, że plik izatcloud.net należy do Qualcomm Technologies, Inc. Dane zostały przesłane protokołem HTTP nie bezpieczny, co czyni je podatnymi na przechwycenie. Ponadto eksperci odkryli, że Qualcomm gromadzi dość dużą ilość informacji: unikalny identyfikator urządzenia, nazwę i numer seryjny chipsetu, wersję oprogramowania XTRA, kod kraju i operatora sieci komórkowej, typ i wersję systemu operacyjnego, markę i model gadżetu, czas pracy procesora i modemu, listę zainstalowanych aplikacji i adres IP. Ponadto firma określa również dokładną lokalizację użytkowników, co może stanowić poważne naruszenie prywatności.
Eksperci zalecają użytkownikom obeznanym z technologią zablokować usługę Qualcomm XTRA lub przekierować ruch. Ten serwis, według samego Qualcomma, działa w następujący sposób:
Za pośrednictwem tych aplikacji możemy gromadzić dane o lokalizacji, unikalne identyfikatory (takie jak numer seryjny chipsetu lub międzynarodowy identyfikator abonenta), dane o aplikacjach zainstalowanych i/lub uruchomionych na urządzeniu, dane konfiguracyjne, takie jak marka, model i operator sieci bezprzewodowej, działanie dane systemowe i dane wersji, dane kompilacji oprogramowania oraz dane dotyczące wydajności urządzenia, takie jak wydajność chipsetu, zużycie baterii i dane termiczne.
Możemy również uzyskiwać dane osobowe ze źródeł zewnętrznych, takich jak brokerzy danych, sieci społecznościowe, inni partnerzy lub źródła publiczne.
Jednak zablokowanie usługi Qualcomm XTRA może nie być w zasięgu wszystkich użytkowników, co oznacza, że wielu z nas może być zmuszonych do pozostania narażonym na to ryzyko przez jakiś czas. Qualcomm już odpowiedział na incydent, twierdząc, że gromadzenie danych jest zgodne z prawem i nie jest sprzeczne z polityką prywatności firmy. Jednak użytkownicy mogą być zaniepokojeni ilością danych gromadzonych bez ich zgody, co rodzi pewne pytania dotyczące praktyk firmy Qualcomm w zakresie prywatności i zabezpieczeń, które należy zastosować, aby zapewnić bezpieczeństwo użytkowników.
Ryzyko gromadzenia danych osobowych bez zgody użytkowników polega na tym, że informacje te mogą zostać wykorzystane niedozwolonych celach, takich jak marketing inwazyjny, profilowy z użytkowników, inwigilacja i naruszenie prywatności. Ponadto, jeśli Twoje dane nie są odpowiednio chronione, mogą zostać naruszone przez cyberprzestępców lub inne złośliwe podmioty. Dzieje się tak, ponieważ używany protokół jest nieszyfrowany (HTTP). W przyszłości dowiemy się więcej o problemie procesorów Qualcomm Snapdragon oskarżanych o wysyłanie danych do osób trzecich.
UPDATE
Rzecznik Qualcomm postanowił ustosunkować się do zarzutów:
Artykuł jest pełen nieścisłości i wydaje się być motywowany chęcią autora do sprzedaży swojego produktu. Qualcomm gromadzi dane osobowe wyłącznie w zakresie dozwolonym przez obowiązujące przepisy prawa. Jak stwierdzono w publicznie dostępnej polityce prywatności (https://www.qualcomm.com/site/privacy/services), technologie Qualcomm, o których mowa, wykorzystują anonimowe informacje nieumożliwiające identyfikacji osoby. Technologie Qualcomm wykorzystują nieosobowe i anonimowe dane techniczne, aby umożliwić producentom urządzeń dostarczanie klientom aplikacji i usług opartych na lokalizacji, których użytkownicy końcowi oczekują od dzisiejszych smartfonów
