“Qualcomm 监视智能手机用户,将个人数据发送给 Qualcomm,”德国安全公司 Nitrokey 警告说

“Qualcomm 监视智能手机用户,将个人数据发送给 Qualcomm,”德国安全公司 Nitrokey 警告说

“在我们的安全研究中,我们发现采用高通芯片的智能手机会秘密向高通发送个人数据。”

2021 年,美国国家安全局前泄密者爱德华·斯诺登 (Edward Snowden) 发出了有关国家安全的警告。他说,“对国家安全的最大威胁已经成为声称保护它的公司。”斯诺登以一种警示的语气阐明了围绕使用智能手机的潜在漏洞和隐私问题,并警告说我们的智能手机已成为我们拥有的最“最危险的物品”。斯诺登补充说,当今的智能手机如何配备“隐藏式麦克风”。

“当我拿到一部新手机时,我做的第一件事就是拆开它。我这样做不是为了满足修补匠的冲动,也不是出于政治原则,而仅仅是因为操作不安全。修复硬件,也就是说通过手术移除隐藏在里面的两三个微型麦克风,”斯诺登说。

快进两年后,一家德国安全公司 Nitrokey 现在向高通智能手机的所有用户发出警告。在其网站上发表的一篇题为“采用流行的高通芯片的智能手机与美国芯片制造商秘密共享私人信息”的研究文章中,该公司表示,高通芯片被发现会发送私人用户信息,包括 IP 地址、唯一 ID 和移动电话国家代码,返回给美国芯片制造商。

“在我们的安全研究中,我们发现采用高通芯片的智能手机会秘密向高通发送个人数据。这些数据是在未经用户同意、未加密的情况下发送的,甚至在使用无谷歌的 Android 发行版时也是如此。这是可能的,因为提供硬件支持的专有 Qualcomm 软件也会发送数据。受影响的智能手机是索尼 Xperia XA2,可能还有 Fairphone 和更多使用流行的高通芯片的安卓手机。”

作为其研究的一部分,Nitrokey 分析了一款名为 Sony Xperia XA2 的高通智能手机,发现该手机“向芯片制造商高通公司发送私人信息”。该公司补充说,这一发现也“适用于 Fairphone 等其他采用高通芯片的智能手机。”

该公司证明高通芯片有一个后门,并通过测试一款已被修改为不包含任何谷歌专有(闭源)应用程序或服务的去谷歌安卓手机来给家里打电话。这个过程包括安装一个定制的 ROM,用一个没有任何谷歌应用程序的开源 Android 取代标准的 Android 软件。

测试去谷歌的 Android 手机

在此测试中,Nitrokey 使用了 /e/OS,这是一个去谷歌搜索的安卓开源版本,“它以隐私为中心,旨在让你控制你的数据。 /e/OS 声称他们不会跟踪您,也不会出售您的数据。”

Nitrokey 随后在索尼 Xperia XA2(一款高通驱动的智能手机)上安装了 /e/OS。 “安装后,手机会启动到 /e/OS 安装向导。它要求我们打开 GPS 定位服务,但我们故意将其关闭,因为我们现在不需要它,”Nitrokey 解释道。

以下是测试的进行情况。

在设置向导中提供我们的 WiFi 密码后,路由器为我们的 /e/OS de-Googled 手机分配了一个本地 IP 地址,它开始生成流量。

我们看到的第一个 DNS 请求:

[2022-05-12 22:36:34] android.clients.google.com[2022-05-12 22:36:34] connectivity.ecloud.global

令人惊讶的是,去谷歌手机的第一个连接是 google.com。

然后它连接到 connectivity.ecloud.global,根据 /e/OS,它取代了 Android 的 Google 服务器连接检查 connectivitycheck.gstatic.com。

两秒钟后,电话开始与以下人员通信:

[2022-05-12 22:36:36] izatcloud.net
[2022-05-12 22:36:37] izatcloud.net

我们不知道任何名为 izatcloud.net 的公司或服务。因此我们开始搜索 /e/OS 法律声明和隐私政策,但没有发现与 Izat Cloud 共享数据的信息。 /e/OS 隐私政策明确指出“我们不与任何人共享任何个人信息”。然后我们搜索了他们在 Gitlab 上提供的 /e/OS 源代码,但我们找不到任何对 Izat Cloud 的引用。

通过快速 WHOIS 查询,Nitrokey 团队发现 izatcloud.net 域属于一家名为 Qualcomm Technologies, Inc. 的公司。

“这很有趣。高通芯片目前用于 ca。 30% 的 Android 设备,包括三星和苹果智能手机。我们针对 /e/OS deGoogled 版 Android 的测试设备是配备 Qualcomm Snapdragon 630 处理器的 Sony Xperia XA2。所以我们有领先优势,”Nitrokey 说。

进一步调查后,Nitrokey 还发现“这些数据包是通过 HTTP 协议发送的,并未使用 HTTPS、SSL 或 TLS 进行加密。这意味着网络上的任何其他人,包括黑客、政府机构、网络管理员、电信运营商、本地和外国都可以通过收集这些数据、存储它们并使用手机的唯一 ID 和序列号建立记录历史来轻松监视我们高通公司正在将其发送到他们神秘的 Izat Cloud,”该公司表示。

Nitrokey 表示,“索尼(设备供应商)或 Android 或 /e/OS 的服务条款中均未提及与高通的数据共享。高通在未经用户同意的情况下这样做。”

以下是 Nitrokey 声明 Qualcomm 可能根据其隐私政策从您的手机收集的数据列表:

  1. 唯一身份
  2. 芯片组名称
  3. 芯片组序列号
  4. XTRA软件版本
  5. 移动国家代码
  6. 移动网络代码(允许识别国家和无线运营商)
  7. 操作系统类型和版本
  8. 设备品牌和型号
  9. 自上次启动应用程序处理器和调制解调器以来的时间
  10. 设备上的软件列表
  11. IP地址

与此同时,高通并不孤单。 Nitrokey 还指责苹果公司监视其用户。这家初创公司表示,“Apple 和 Android 及其 App Store 和 Google Play Store 都在监视其付费客户。”

“智能手机是我们几乎所有秘密都托付给我们的设备。毕竟,这是我们每天 24 小时随身携带的最普遍的设备。 Apple 和 Android 及其 App Store 和 Google Play Store 都在监视其付费客户。”

您可以在此处阅读全文。

本文来自互联网,不代表前途科技立场,如若转载,请注明出处:https://accesspath.com/tech/5843920/

(0)
定国的头像定国
上一篇 2023年5月19日 上午12:15
下一篇 2023年5月19日 上午1:30

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注