Німецька охоронна компанія Nitrokey нещодавно опублікувала звіт, в якому стверджується, що вона виявила незафіксовану функцію в чіпах Qualcomm Snapdragon, яка збирає та передає інформацію користувача безпосередньо на сервери Qualcomm. Функція не залежить від операційної системи Android, а це означає, що дані передаються, навіть якщо операційна система не задіяна. Компанія Nitrokey встановила версію Android без Google на телефон Sony Xperia XA2, оснащений чіпом Qualcomm Snapdragon 630, і виявила, що дані передаються на сервер izatcloud.net, який належить Qualcomm.

Згідно зі звітом, чіпи Qualcomm збирають і передають інформацію про користувача, включаючи унікальний ідентифікатор смартфона, назву чіпа, серійний номер чіпа, версію програмного забезпечення XTRA, мобільний код країни та код мобільної мережі, тип і версію оператора або операційної системи, пристрій виробник і модель, список програм на пристрої, IP-адреса та інші дані. Дані передаються через незахищений протокол HTTP без будь-якого додаткового шифрування, що робить їх доступними практично кожному, хто може прочитати дані унікального ідентифікатора, надіслані в Izat Cloud.

Незашифрована передача даних від чіпів Qualcomm

Ця функція стосується приблизно 30% телефонів у всьому світі, включаючи телефони Android і iPhone, які використовують комунікаційні модулі Qualcomm. Висновок Nitrokey у дописі в блозі полягає в тому, що налаштована прошивка AMSS від Qualcomm має пріоритет над будь-якою операційною системою, а оскільки вона використовує протокол HTTP, на основі зібраних даних можна створити унікальний підпис пристрою, до якого можуть отримати доступ сторонні особи.

Qualcomm відповіла на звіт, заявивши, що передача даних відповідає політиці конфіденційності сервісу XTRA, що фактично дозволяє компанії збирати вищезгадані дані користувачів. Однак той факт, що дані передаються через незахищений протокол HTTP, викликає занепокоєння щодо конфіденційності та безпеки інформації користувачів.

У цьому звіті підкреслюється важливість забезпечення безпечної передачі даних користувачів і відповідно до політики конфіденційності. Це також підкреслює необхідність більшої прозорості з боку технологічних компаній щодо даних, які вони збирають, і способів їх використання. Оскільки все більше пристроїв підключаються та збирають більше даних, важливо, щоб користувачі знали, як використовується їхня інформація, і мали можливість контролювати її. Нещодавнє оновлення Google для розробників передбачає, що всі додатки для Android тепер повинні включати функцію, яка дозволяє користувачам видаляти свої облікові записи та дані, що відображає все більшу увагу до конфіденційності користувачів.

Источник: portaltele.com.ua