Популярного чипмейкера Qualkomm викрили в передачі інформації про користувачів через процесори Snapdragon. Відповідне відкриття зробили фахівці німецької компанії Nitrokey. За словами борців із хакерами, неврахована функція інтегрована безпосередньо в чипи.
Подробиці
Зазначена опція не залежить від ОС Android. Це означає, що дані передаються, навіть якщо операційна система не задіяна. Німці встановили версію “зеленого робота” без Google на телефон Sony Xperia XA2, оснащений чипом SD630, і виявили, що дані передаються на куалкомівський сервер izatcloud.net.
За запевненнями Nitrokey, процесори згаданого чіпмейкера збирають і передають великий масив даних про користувачів, починаючи від унікального ідентифікатора смартфона, назви та серійного номера чіпа – закінчуючи версією програми XTRA та інформацією про країну, код мобільної мережі, виробника й модель смартфона, IP-адресу тощо. Відправлення здобутих відомостей здійснюється через незахищений HTTP-протокол без натяку на хоч якесь шифрування. Іншими словами, доступ до зазначеної інформації може отримати навіть зловмисник-початківець.
Ця особливість зачіпає приблизно 30% андроїд- і iOS-смартфонів по всьому світу, оснащених куалкомівськими комунікаційними модулями.
На підставі цього експерти дійшли висновку, що налаштована прошивка AMSS “домінує” над будь-якою операційкою. Використання ж протоколу HTTP дає змогу створити унікальний підпис пристрою і передати доступ до нього третім особам.
Спікери Qualcomm назвали передачу даних діями, які “не порушують політику конфіденційності сервісу XTRA”. Експерти у відповідь заявили, що передача таких відомостей незахищеним протоколом загрожує потраплянням інформації про користувачів до сторонніх.
У звіті також наголошується на важливості забезпечення безпечного передавання користувацьких даних і дотримання політики конфіденційності. Документ наголошує на необхідності більшої прозорості технологічних компаній щодо даних, які вони збирають.
– Оскільки дедалі більше пристроїв стають під’єднаними і збирають дедалі більше даних, важливо, щоб користувачі знали, як використовується їхня інформація, і мали можливість контролювати її, – наголошується у звіті.
Нещодавнє оновлення Google для розробників вимагає, щоб усі додатки для Android містили функцію, що дає змогу користувачам видаляти свої облікові записи та дані.
