Nitrokey, een beveiligingsbedrijf, ontdekte hij dat sommige smartphonemodellen die zijn uitgerust met Snapdragon-processors persoonlijke gegevens van gebruikers naar Qualcomm, de chipmaker voor smartphones en meer, op ongeoorloofde wijze sturen. Deze gegevens komen verzonden zonder toestemming van de gebruikers en in niet-versleutelde vorm, wat betekent dat ze gemakkelijk kunnen worden onderschept en gecompromitteerd.
UPDATE AAN HET EINDE VAN HET ARTIKEL
Een lelijk verhaal dat "modder gooit" op Qualcomm: Snapdragon-processors beschuldigd van het verzenden van gegevens naar het bedrijf zonder toestemming van de gebruiker
Experts merkten op dat Qualcomm-processors omzeil de beveiligingsinstellingen en Android-mechanismen, die gegevens verzenden, zelfs op assemblages zonder Google-services. Dit afwijkende gedrag is waargenomen op een Sony Xperia XA2-smartphone, uitgerust met de open source besturingssysteem /e/ OS. Tijdens de test werd het door het apparaat gegenereerde verkeer gemonitord met behulp van de software Wireshark, een hulpprogramma dat wordt gebruikt om netwerkverkeer te analyseren. Experts merkten er meteen een op verzoek aan android.clients.google.com, ondanks dat er geen Google-app op het toestel stond. Het apparaat stuurde vervolgens een verzoek naar connection.ecloud.global, wat volgens de ontwikkelaars van /e/OS is een vervanging voor de serververbindingscontrole van Google.
Na uitgebreid onderzoek is gebleken dat de izatcloud.net behoort tot Qualcomm Technologies, Inc. De gegevens zijn verzonden via het protocol HTTP niet veilig, waardoor ze kwetsbaar zijn voor onderschepping. Bovendien hebben experts ontdekt dat Qualcomm een vrij grote hoeveelheid informatie verzamelt: de unieke apparaat-ID, chipsetnaam en serienummer, XTRA-softwareversie, landcode en mobiele operator, het type en de versie van het besturingssysteem, het merk en model van de gadget, de gebruiksduur van de processor en modem, de lijst met geïnstalleerde applicaties en het IP-adres. Bovendien bepaalt het bedrijf ook de exacte locatie van gebruikers, wat een ernstige inbreuk op de privacy zou kunnen zijn.
Experts raden technisch onderlegde gebruikers aan blokkeer de Qualcomm XTRA-service of om verkeer om te leiden. deze dienst, volgens Qualcomm zelf, werkt als volgt:
Via deze softwaretoepassingen kunnen we locatiegegevens verzamelen, unieke identificatoren (zoals een serienummer van een chipset of internationale abonnee-ID), gegevens over geïnstalleerde en/of actieve toepassingen op uw apparaat, configuratiegegevens zoals merk, model en draadloze provider, operationele systeem- en versiegegevens, software-buildgegevens en apparaatprestatiegegevens zoals chipsetprestaties, batterijgebruik en thermische gegevens.
We kunnen ook persoonlijke gegevens verkrijgen van bronnen van derden, zoals gegevensmakelaars, sociale netwerken, andere partners of openbare bronnen.
Het blokkeren van de Qualcomm XTRA-service ligt echter mogelijk niet binnen het bereik van alle gebruikers, wat betekent dat velen van ons mogelijk enige tijd aan dit risico zullen worden blootgesteld. Qualcomm heeft al gereageerd op het incident en beweert dat het verzamelen van gegevens is legaal en niet in strijd met het privacybeleid van het bedrijf. Gebruikers kunnen zich echter zorgen maken over de hoeveelheid gegevens die wordt verzameld zonder hun toestemming, wat vragen oproept over de privacypraktijken van Qualcomm en de waarborgen die moeten worden getroffen om de veiligheid van gebruikers te waarborgen.
Het risico van het verzamelen van persoonlijke gegevens zonder toestemming van gebruikers is dat deze informatie kan worden gebruikt ongeoorloofde doeleinden, zoals invasieve marketing, de profilering van gebruikers, bewaking en inbreuk op de privacy. Als uw gegevens niet goed worden beschermd, kunnen ze worden aangetast door cybercriminelen of andere kwaadwillende actoren. En dit is het geval omdat het gebruikte protocol niet-versleuteld is (HTTP). In de toekomst zullen we meer weten over het probleem van Qualcomm's Snapdragon-processors die ervan worden beschuldigd gegevens naar derden te hebben verzonden.
UPDATE
De woordvoerder van Qualcomm besloot te reageren op de beschuldigingen:
Het artikel staat vol onnauwkeurigheden en lijkt ingegeven te zijn door de wens van de auteur om zijn product te verkopen. Qualcomm verzamelt alleen persoonlijke informatie zoals toegestaan door toepasselijke wetgeving. Zoals vermeld in het openbaar beschikbare privacybeleid (https://www.qualcomm.com/site/privacy/services), gebruiken de betreffende Qualcomm-technologieën niet-persoonlijk identificeerbare en anonieme informatie. Qualcomm-technologieën gebruiken niet-persoonlijke en geanonimiseerde technische gegevens om apparaatfabrikanten in staat te stellen hun klanten locatiegebaseerde applicaties en diensten te bieden die eindgebruikers gewend zijn van hedendaagse smartphones
