Чиповете на Qualcomm са уличени в тайно шпиониране на потребителите
Според блога на немската компания Nitrokey, която се занимава с хардуерни решения в региона на осведомителната сигурност, в едночиповите платформи на Qualcomm е открита недокументирана функционалност, с помощта на която някои данни от смарт телефоните се изпращат непосредствено към сървърите на Qualcomm – без никакво присъединяване на операционната система.
Изследователите са тествали персонализирани смарт телефони с Android, изчистени от приложения и услуги на Гугъл със затворен код, с цел да блокират предаването на данни от Гугъл за чистотата на опита. Оказало се, че това не пречи на приключването на значима информация, която разрешава доста да се научи за потребителя.
След инсталиране на чист Android на смарт телефона Sony Xperia XA2 с процесор Qualcomm Snapdragon 630, той е бил употребен единствено с Wi-Fi и без SIM-карта. За надзор на трафика е употребена програмата Wireshark, която оказва помощ за следене на изтеклите данни. Оказало се, че даже след инсталиране на Android, без услугите на Гугъл, смарт телефонът прави опити да се свърже с устройства на компанията, само че това можело да се чака от Android, даже и да е „ измит “.
Неочаквано устройството се свърза и със сървърите на izatcloud.net. Както се оказало, те принадлежат на Qualcomm, до момента в който инспекцията на изходния код на операционната система не разкрил препратки към този домейн. Според Nitrokey, чиповете на Qualcomm се употребяват в 30% от устройствата, в това число и в Android и iPhone моделите. Последните, по-специално, употребяват модеми на Qualcomm. Вероятно, прехвърлянето на данни към сървърите на Qualcomm може да включва доста смарт телефони и чипсети. Данните са били изпращани през нерешителен HTTP-протокол, без в допълнение криптиране, тъй че неповторимите идентификационни данни, изпратени от Qualcomm до Izat Cloud, могат да бъдат налични безусловно от всеки.
От Qualcomm споделят, че прехвърлянето на данни е в сходство с политиката за конфиденциалност XTRA Service Privacy Policy, съгласно която компанията може фактически да събира неповторим идентификатор на смарт телефон, име на чипсет, сериен номер на чипсет, версия на софтуера, мобилен код на страната, код на мобилната мрежа, който ви разрешава да зададете единствено страната, само че и оператора, типа и версията на операционната система, производителя и модела на устройството, листата с стратегии на устройството, IP-адреса и други данни. Освен това, услугата XTRA наподобява директно обвързвана със спомагателната система за позициониране A-GPS.
Nitrokey заключава, че специфичният фърмуер AMSS на Qualcomm освен има предпочитани права пред всяка операционна система, само че също по този начин разрешава основаване на неповторим автограф на устройството, като се употребяват събраните данни, които, с помощта на HTTP протокола, могат да бъдат проследени много елементарно от всяка трета страна – без да се споделя, че Qualcomm може да си сътрудничи с разследващите организации на една или повече страни. Nitrokey заяви, че за елементарния консуматор е съвсем невероятно да се защищити от сходно предаване на данни – даже и с изключен GPS модул и задействани други защитни функционалности. Има някои способи за отбрана, само че те изискват специфична подготовка.
