Немецкая компания по обеспечению безопасности Nitrokey недавно опубликовала отчет, в котором утверждается, что она обнаружила незарегистрированную функцию в чипах Qualcomm Snapdragon, которая собирает и передает информацию о пользователях непосредственно на серверы Qualcomm.

Функция не зависит от операционной системы Android, что означает, что данные передаются, даже если операционная система не задействована. Компания Nitrokey установила версию Android без Google на телефон Sony Xperia XA2, оснащенный чипом Qualcomm Snapdragon 630, и обнаружила, что данные передаются на сервер izatcloud.net, принадлежащий Qualcomm.

Согласно отчету, чипы Qualcomm собирают и передают информацию о пользователе, включая уникальный идентификатор смартфона, название чипа, серийный номер чипа, версию программного обеспечения XTRA, мобильный код страны и код мобильной сети, тип и версию оператора или операционной системы, устройства. производитель и модель, список программ на устройстве, IP-адрес и другие данные. Данные передаются по незащищенному протоколу HTTP без дополнительного шифрования, что делает их доступными практически любому, кто может прочитать данные уникального идентификатора, отправленные в Izat Cloud.

Незашифрованная передача данных с чипов Qualcomm

Эта функция затрагивает примерно 30% телефонов по всему миру, включая телефоны Android и iPhone, в которых используются коммуникационные модули Qualcomm. Вывод Nitrokey в сообщении в блоге заключается в том, что настроенная прошивка Qualcomm AMSS имеет приоритет над любой операционной системой, и, поскольку она использует протокол HTTP, на основе собранных данных может быть создана уникальная подпись устройства, к которой могут получить доступ третьи стороны.

Qualcomm отреагировала на отчет, заявив, что передача данных осуществляется в соответствии с политикой конфиденциальности сервиса XTRA, что фактически позволяет компании собирать вышеупомянутые пользовательские данные. Однако тот факт, что данные передаются по незащищенному протоколу HTTP, вызывает опасения по поводу конфиденциальности и безопасности пользовательской информации.

В этом отчете подчеркивается важность обеспечения безопасной передачи пользовательских данных и соблюдения политики конфиденциальности. Это также подчеркивает необходимость большей прозрачности со стороны технологических компаний в отношении данных, которые они собирают, и того, как они используются. Поскольку все больше устройств подключаются и собирают больше данных, важно, чтобы пользователи знали, как используется их информация, и имели возможность контролировать ее. Недавнее обновление Google для разработчиков требует, чтобы все приложения для Android теперь включали функцию, позволяющую пользователям удалять свои учетные записи и данные, что отражает растущее внимание к конфиденциальности пользователей.