Nitrokey, et sikkerhetsselskap, funnet at enkelte smarttelefonmodeller utstyrt med Snapdragon-prosessorer uautorisert sender brukernes personlige data til Qualcomm, produsenten av smarttelefonbrikker med mer. Disse dataene kommer sendes uten samtykke fra brukere og i ukryptert form, noe som betyr at de lett kan avskjæres og kompromitteres.
OPPDATERING PÅ SLUTTEN AV ARTIKELEN
En stygg historie som "kaster gjørme" på Qualcomm: Snapdragon-prosessorer anklaget for å sende data til selskapet uten brukerens samtykke
Eksperter bemerket at Qualcomm-prosessorer omgå sikkerhetsinnstillinger og Android-mekanismer, som sender data selv på sammenstillinger uten Google-tjenester. Denne unormale oppførselen ble observert på en Sony Xperia XA2-smarttelefon, utstyrt med åpen kildekode operativsystem /e/ OS. Under testen ble trafikken generert av enheten overvåket via programvaren Wireshark, et verktøy som brukes til å analysere nettverkstrafikk. Eksperter la umiddelbart merke til en forespørsel til android.clients.google.com, til tross for at det ikke er noen Google-app på enheten. Etterpå sendte enheten en forespørsel til connection.ecloud.global, som /e/ OS-utviklerne hevder var en erstatning for å sjekke tilkoblingen til Googles server.
Etter et grundig søk ble det oppdaget at domenet izatcloud.net tilhører Qualcomm Technologies, Inc. Dataene ble sendt via protokollen HTTP ikke sicuro, noe som gjør dem sårbare for avlytting. I tillegg fant eksperter at Qualcomm samler inn en ganske stor mengde informasjon: enhetens unike identifikator, navnet og serienummeret til brikkesettet, versjonen av XTRA-programvaren, landskoden og mobiloperatøren, type og versjon av operativsystemet, merket og modellen til gadgeten, driftstiden til prosessoren og modemet, listen over installerte applikasjoner og IP-adressen. Videre bestemmer selskapet også den nøyaktige plasseringen av brukere, noe som kan utgjøre et alvorlig brudd på personvernet.
Eksperter anbefaler teknisk kunnskapsrike brukere å blokkere Qualcomm XTRA-tjenesten eller for å omdirigere trafikk. Denne tjenesten, ifølge Qualcomm selv, fungerer som følger:
Gjennom disse programvareapplikasjonene kan vi samle inn plasseringsdata, unike identifikatorer (som et brikkesetts serienummer eller internasjonal abonnent-ID), data om applikasjoner som er installert og/eller som kjører på enheten din, konfigurasjonsdata som merke, modell og trådløs operatør, operativsystem og versjonsdata, programvarebyggingsdata og enhetsytelsedata som brikkesettytelse, batteribruk og termiske data.
Vi kan også innhente personopplysninger fra tredjepartskilder som datameglere, sosiale nettverk, andre partnere eller offentlige kilder.
Imidlertid blokkerer Qualcomm Qualcomm har allerede svart på hendelsen og hevdet det datainnsamlingen er lovlig og er ikke i strid med selskapets personvernpolicy. Imidlertid kan brukere være bekymret for mengden data som samles inn uten deres samtykke, noe som reiser noen spørsmål om Qualcomms personvernpraksis og beskyttelsestiltakene som bør implementeres for å sikre brukersikkerhet.
Risikoen ved å samle inn personopplysninger uten brukernes samtykke er at denne informasjonen kan brukes til uautoriserte formål, som invasiv markedsføring, den profilering av brukere, overvåking og brudd på personvernet. Videre, hvis data ikke er riktig beskyttet, kan de bli kompromittert av nettkriminelle eller andre ondsinnede aktører. Og dette er tilfelle siden protokollen som brukes er ikke-kryptert (HTTP). I fremtiden vil vi vite mer om problemet med Qualcomms Snapdragon-prosessorer som blir anklaget for å sende data til tredjeparter.
OPPDATERING
Qualcomms talsperson bestemte seg for å svare på anklagene:
Artikkelen er full av unøyaktigheter og ser ut til å være motivert av forfatterens ønske om å selge sitt eget produkt. Qualcomm samler inn personlig informasjon kun som tillatt av gjeldende lov. Som angitt i den offentlig tilgjengelige personvernerklæringen (https://www.qualcomm.com/site/privacy/services), bruker de aktuelle Qualcomm-teknologiene ikke-personlig og anonym informasjon. Qualcomm-teknologier bruker ikke-personlige, anonymiserte tekniske data for å gjøre det mulig for enhetsprodusenter å gi sine kunder stedsbaserte applikasjoner og tjenester som sluttbrukere forventer av dagens smarttelefoner
