Hitech logo

Кейсы

Чипы Qualcomm тайно передают информацию о пользователе в компанию

TODO:
Екатерина Шемякинская28 апреля 2023 г., 18:29

Смартфоны с чипом Qualcomm тайно отправляют личные данные в компанию. Сведения отправляются без согласия пользователя, в незашифрованном виде даже при использовании дистрибутива Android без Google. Проприетарное ПО Qualcomm, которое обеспечивает аппаратную поддержку, также отправляет данные. Об этом сообщается в блоге немецкой компании Nitrokey, занимающейся аппаратными решениями в области информационной безопасности.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Исследователи проверили смартфоны на кастомных Android, очищенные от приложений и сервисов Google с закрытым кодом — чтобы блокировать передачу данных Google. Даже в таких условиях произошла утечка некоторых важных сведений о пользователе.

После установки чистого Android на смартфон Sony Xperia XA2 с Qualcomm Snapdragon 630 его использовали только с Wi-Fi и без SIM-карты. Трафик контролировала программа Wireshark, помогающая отследить утечки данных. Выяснилось, что даже после установки Android без сервисов Google смартфон пытался связаться с сервисами компании.

Устройство также связалось с серверами izatcloud.net, которые принадлежат Qualcomm, при этом проверка исходного кода ОС не выявила отсылок к данному домену. Согласно Nitrokey, чипы Qualcomm используются в 30% устройств, включая как модели на Android, так и iPhone. Поэтому передача данных на серверы Qualcomm затрагивает многие смартфоны и чипсеты.

Пересылка совершалась по незащищённому протоколу HTTP, без дополнительного шифрования, поэтому уникальные идентификационные данные, отправлявшиеся Qualcomm в Izat Cloud, доступны любому желающему. Хакеры, правительственные учреждения, сетевые администраторы, операторы связи, могут легко шпионить за пользователем: собирать данные, сохранять их и создавать историю записей с уникальным идентификатором и серийным номером телефона.

Nitrokey связались с юристом Qualcomm. В компании сообщили, что пересылка данных соответствует политике конфиденциальности XTRA Service Privacy Policy, в соответствии с которой компания фактически может собирать уникальный идентификатор смартфона, название чипсета, серийный номер чипсета, версию программного обеспечения XTRA, мобильный код страны, список программ на устройстве, IP-адрес и другую информацию. А сервис XTRA, вероятно, напрямую связан с системой позиционирования A-GPS.

В Nitrokey заключили, что специальная прошивка AMSS компании Qualcomm обладает приоритетными правами перед любой операционной системой и позволяет создать с помощью собранных данных уникальную сигнатуру устройства. Эту сигнатуру, за счет использования протокола HTTP, может отследить третья сторона. Защититься от утечки обычному пользователю почти невозможно, даже с отключённым GPS-модулем и активированными защитными функциями.