Популярного чипмейкера Qualkomm уличили в передаче информации о пользователях через процессоры Snapdragon. Соответствующее открытие сделали специалисты немецкой компании Nitrokey. По словам борцов с хакерами, неучтенная функция интегрирована непосредственно в чипы.
Подробности
Указанная опция не зависит от ОС Android. Это означает, что данные передаются, даже если операционная система не задействована. Немцы установили версию “зеленого робота” без Google на телефон Sony Xperia XA2, оснащенный чипом SD630, и обнаружили, что данные передаются на куалкоммовский сервер izatcloud.net.
По уверениям Nitrokey, процессоры упомянутого чипмейкера собирают и передают обширный массив данных о пользователях, начиная от уникального идентификатора смартфона, названия и серийного номера чипа – заканчивая версией программы XTRA и информацией о стране, коде мобильной сети, производителе и модели смартфона, IP-адресе и т.д. Отправка добытых сведений производится через незащищенный HTTP-протокол без намека на хоть какое-то шифрование. Иными словами, доступ к указанной инфе может получить даже начинающий злоумышленник.
Эта особенность затрагивает примерно 30% андроид- и iOS-смартфонов по всему миру, оснащенных куалкоммовскими коммуникационными модулями.
На основании этого эксперты пришли к выводу, что настроенная прошивка AMSS «доминирует” над любой операционкой. Использование же протокола HTTP позволяет создать уникальную подпись устройства и передать доступ к ней третьим лицам.
Спикеры Qualcomm назвали передачу данных действиями, которые “не нарушают политику конфиденциальности сервиса XTRA”. Эксперты в ответ заявили, что передача таких сведений по незащищенному протоколу чревата попаданием информации о пользователях к посторонним.
В отчете также подчеркивается важность обеспечения безопасной передачи пользовательских данных и соблюдения политики конфиденциальности. Документ подчеркивает необходимость большей прозрачности технологических компаний в отношении данных, которые они собирают.
– Поскольку все больше устройств становятся подключенными и собирают все больше данных, важно, чтобы пользователи знали, как используется их информация, и имели возможность контролировать ее, – отмечается в отчете.
Недавнее обновление Google для разработчиков требует, чтобы все приложения для Android включали функцию, позволяющую пользователям удалять свои учетные записи и данные.
