Eksperci od cyberbezpieczeństwa znaleźli dowody na to, że Qualcomm zbiera informacje o użytkownikach smartfonów korzystających z ich układów scalonych i przesyła dane do swoich serwerów.
W ciągu ostatnich lat pojawiło się wiele zarzutów o szpiegowanie klientów, skierowanych w stronę chińskich producentów smartfonów. Jak się okazuje, winny może być Qualcomm, czyli firma odpowiedzialna za rozwój i produkcję układów scalonych do wielu urządzeń elektronicznych, w tym również do smartfonów.
Jak wskazują eksperci z Nitrokey, Qualcomm, czyli jeden z największych producentów układów scalonych do smartfonów może ukradkiem zbierać i wysyłać prywatne dane użytkowników do swoich serwerów. Co więcej, są to w stanie zrobić z pominięciem ustawień Androida, czy nawet wbudowanych mechanizmów zabezpieczających producentów smartfonów.
Testy przeprowadzono na smartfonie Sony Xperia XA2 z zainstalowanym systemem /e/ będącym rozwidleniem opartego na Androidzie LineageOS. Oprogramowanie jest przedstawiane jako chroniące prywatność, gdyż jest chociażby pozbawione zainstalowanych fabrycznie usług Google.
Podczas pierwszej konfiguracji urządzenia nie było włożonej karty SIM, a lokalizacja GPS nie była włączona. Smartfon został podłączony tylko do kontrolowanej sieci Wi-Fi, która była monitorowana za pomocą oprogramowania Wireshark. Gdy tylko telefon połączył się z siecią bezprzewodową, router przypisał mu lokalny adres IP i zaczął generować ruch. Co zaskakujące, pierwszą rzeczą, którą zauważyli badacze, było zapytanie do android.clients.google.com, mimo że w urządzeniu nie było ani jednej aplikacji należącej do usługi Google.
Następnie urządzenie wysłało zapytanie do connection.ecloud.global, będące zamiennikiem sprawdzania połączenia z serwerem Google dla androidconnectioncheck.gstatic.com. Dwie sekundy później okazało się, że smartfon próbuje połączyć się z domeną izatcloud.net, która należy do firmy Qualcomm Technologies Inc. Jednocześnie przesyłane były dane niezabezpieczonym protokołem HTTP, SSL lub TLS, co czyni je podatnymi na przechwycenie.
Jak zauważyli eksperci, Qualcomm gromadzi dość dużą ilość informacji: unikalny identyfikator urządzenia, nazwę i numer seryjny układu scalonego, wersję oprogramowania XTRA, kod kraju i operatora komórkowego, typ i wersję systemu operacyjnego, markę i model smartfona, czas pracy procesora i modemu, listę zainstalowanych aplikacji i adres IP. Ponadto firma określa również dokładną lokalizację użytkowników. A wszystko to za sprawą obecności w procesorach Qualcomm własnego systemu operacyjnego XTRA, który działa niezależnie od innego oprogramowania na urządzeniu.
Firma Qualcomm postanowiła odnieść się do oryginalnego artykułu NitroKey, na podstawie którego powstał powyższy tekst. W związku z tym udostępniam w całości stanowisko przedsiębiorstwa:
Artykuł jest pełen nieścisłości i wydaje się być motywowany chęcią autora do promowania swojego produktu. Qualcomm gromadzi dane osobowe tylko zgodnie z obowiązującym prawem. Zgodnie z naszą polityką prywatności (https://www.qualcomm.com/site/privacy/services), technologie Qualcomm, o których mowa, wykorzystują dane techniczne, nieosobowe oraz zanonimizowane, aby umożliwić producentom dostarczanie klientom informacji o aplikacjach i usługach opartych na lokalizacji, których użytkownicy końcowi oczekują od dzisiejszych smartfonów.
- Rzecznik Qualcomm.
Zobacz: Gang BLIK-owy rozbity. To oni okradali Polaków
Zobacz: Motorola tak zabezpiecza smartfony przed utratą danych
Źródło zdjęć: MikroKon / Shutterstock.com
Źródło tekstu: Nitrokey