查看原文
其他

美芯片巨头再次被曝“窃取”用户数据,高通回应来了!

德国安全公司 Nitrokey 的一则报告,报告称,高通芯片有一项“隐藏功能”,可以绕过安卓系统将用户数据直接发送到高通服务器!
这些数据采用的是HTTP协议发送的,没有任何加密措施,在数据安全上存在巨大漏洞!不仅如此,高通定制的 AMSS 固件的优先级是高于任何操作系统的。
这意味着,高通可以绕过任何操作系统将用户数据发送到高通服务器。
德国安全公司Nitrokey发布并更新的研究报告中称https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker高通公司生产的硬件在未经用户同意的情况下将用户的私人数据(包括 IP 地址)上传到属于该公司的云端
报告背后的研究员 Paul Privacy 声称,除了对用户授权同意的担忧之外,数据包是通过 HTTP 协议发送的,没有使用 HTTPS、SSL 或 TLS 加密。这使它们容易受到攻击。
通过收集这些数据并使用手机的唯一 ID 和序列号创建历史记录,网络上的任何人——包括恶意行为者、政府机构、网络管理员和电信运营商都可以轻松地监视用户

据报道,该政策最初并未说明正在收集 IP 地址,但在研究完成后,该公司更新了其隐私政策,将 IP 地址包含在收集的数据中。此外,更新后的政策披露,公司出于“质量目的”将此数据存储 90 天。

“Qualcomm 的专有软件不仅将一些文件下载到我们的手机以帮助更快地建立 GPS 位置,而且还上传我们的个人数据。这为我们创建了一个完全独特的签名,可以进行行为跟踪并显着减少用户的隐私。不管我们是否关闭了 GPS。”研究人员说。

对于该报告的内容,高通表示确实存在数据传输行为,但否认私自收集用户隐私信息,强调该行为符合XTRA 服务隐私政策

并对Nitrokey 发表的研究“充满了不准确之处”,并且“似乎是出于作者销售其产品的愿望。” 该公司发言人声称,高通仅在适用法律允许的情况下收集个人信息
高通发言人还表示:“正如我们公开的隐私政策所披露的那样,高通技术使用非个人的、匿名的技术数据,使设备制造商能够为其客户提供终端用户期望从当今智能手机获得的基于位置的应用程序和服务。” .

至于全球用户数据上传至美国,是否涉及国家安全,这些信息是否可能会被政府机构或间谍组织利用,高通的解释难以让用户信服。只要这些数据会上传至美国,那么就一定会存在上述的安全风险。

从无谷歌安卓系统开始说起

智能手机是当下人们最“离不开”的核心物品之一,也是一个承载着用户几乎所有秘密的设备,也是唯一一个我们会24小时随身携带的电子设备。众所周知,不论是iOS还是Android,亦或是App Store/Google Play Store或多或少都会收集用户信息,以此提供更加精准的数字化服务。
在有些人看来,这其实是一种监视。为了摆脱这种监视,一些精通技术的用户会在智能手机上安装无谷歌版本的Android系统。例如deGoogled Android 手机,是指经过修改后不包含任何 Google 专有(闭源)应用程序或服务的手机。这通常涉及安装一个自定义 ROM,用一个不附带任何谷歌应用程序的开源 Android 替换标准 Android 软件。
安全研究人员发现,即便安装无谷歌Android系统也不能保证个人信息安全,原因是智能手机的专有供应商软件会将私人信息发送给芯片制造商高通公司,几乎所有使用了高通芯片的智能手机都有相应的操作,其中还包括Fairphone。
探究高通如何收集信息

NitroKey安全研究人员使用了一款去谷歌安卓手机来进行这项实验,手机型号是Sony Xperia XA2 ,以排除手机操作系统的影响(毕竟谷歌有着强大的位置追踪功能)。
在实验测试过程中,安全研究人员使用的是一个去谷歌搜索的安卓开源版本—— /e/OS,它以隐私为中心,严格保护用户数据,毕竟 /e/OS一直吹嘘它们绝不会跟踪用户位置信息,也不会向第三方出售用户数据。/e/OS操作系统是一个以隐私为导向的去谷歌化的移动操作系统,是 Lineage OS 的复刻,由 Mandrake Linux(现在的 Mandriva Linux)的创建者 Gaël Duval 在 2018 年创立。
在 Sony Xperia XA2 智能手机上安装了 /e/OS后,手机启动进入 /e/OS 设置向导后依旧会索要 GPS 定位服务的权限,但安全人员故意将其关闭,以免干扰实验的准确性。
安全研究人员也没有在手机中放置 SIM 卡,因此它只能通过我们使用 Wireshark 监控的 WIFI 网络发送和接收数据。Wireshark 是一种专业的软件工具,它使我们能够监控和分析通过网络发送的所有流量。
在完成设置连上wifi后,路由器为/e/OS de-Googled 手机分配了一个本地 IP 地址,并且开始生成流量。
第一个DNS请求却是来自谷歌:
[ 2022 -05- 12  22 : 36 : 34 ]     android.clients.google.com
[ 2022 -05- 12  22 : 36 : 34 ]     connectivity.ecloud.global
这也就意味着,去谷歌手机的第一个连接是google.com,这大大超出了安全研究人员的预期。根据 Google 的说法,主机android.clients.google.com为 Google Play 商店提供定期设备注册、定位、搜索应用程序和许多其他功能,但这些功能却没有在实验手机上。经过仔细分析后发现,该DNS请求来自 microG,一个开源的重新实现谷歌专有核心库和应用程序。
接下来,它连接到connectivity.ecloud.global,由于安装了/e/OS操作系统,因此取代了 Android 的 Google 服务器连接检查connectivitycheck.gstatic.com。
随后,安全研究人员又发现了以下通信信息
[ 2022 -05- 12  22 : 36 : 36 ]     izatcloud.net
[ 2022 -05- 12  22 : 36 : 37 ]     izatcloud.net
通过查询后发现,izatcloud.net域属于一家名为 Qualcomm Technologies, Inc. 的公司,也就是芯片巨头高通。高通正在悄悄收集用户的信息似乎已经被实锤,并且将这些信息正在上传至高通服务器。
2023年,高通芯片占据全球30%的市场,采用该公司的智能手机品牌包括三星、苹果以及诸多国产手机。那么,这些用户的信息还安全吗?
高通全面监视用户?

进一步调查后,安全研究人员发现这些数据包竟然都是通过不安全的HTTP 协议发送,没有使用 HTTPS、SSL 或 TLS 进行加密。这意味着网络上的任何其他人,包括黑客、政府机构、网络管理员、本地和外国的电信运营商在内,都可以收集这些数据、存储它们并使用手机的唯一 ID 和序列号建立记录历史,以此轻松监视手机用户。
索尼、Android 或 /e/OS 的服务条款中均未提及与高通的数据共享,因此,高通公司不断向他们神秘的 Izat Cloud 发送数据的行为,是其独家行为,且未经用户同意。
NitroKey安全研究人员认为,未经同意收集用户数据违反了通用数据保护条例 (GDPR),并就此事联系了高通的法律顾问。对此,高通法律顾问称,该数据收集符合 Qualcomm Xtra 隐私政策,并且他们向我们分享了XTRA 服务隐私政策的链接。高通似乎一直喜欢保持神秘,不仅Izat Cloud知道的人少,XTRA Service也是如此,更别提该服务的隐私政策了。
高通的XTRA 服务隐私政策规定如下:
“通过软件、应用程序,我们可能会收集位置数据、唯一标识符(例如芯片组序列号或国际用户 ID)、有关设备上安装和/或运行的应用程序数据、配置数据(例如手机品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据,例如芯片组性能、电池使用情况和热数据。我们还可能从第三方来源获取个人数据,例如数据经纪人、社交网络、其他合作伙伴或公共来源。”
但是他们没有提到 IP 地址,实际情况是他们很可能也收集了 IP 地址。在NitroKey安全研究完成后,高通更新了隐私政策,并补充也会收集设备的 IP 地址。另外他们还添加了他们将此数据存储 90 天以用于“质量目的”的信息。
这里列出了高通可能根据其隐私政策从用户手机收集的数据:
唯一身份
芯片组名称
芯片组序列号
XTRA软件版本
移动国家代码
移动网络代码(允许识别国家和无线运营商)
操作系统类型和版本
设备品牌和型号
自上次启动应用程序处理器和调制解调器以来的时间
设备上的软件列表
IP地址
随着研究的深入,我们发现 Qualcomm 的“XTRA 服务”提供辅助 GPS (A-GPS),并有助于为移动设备提供准确的卫星定位。
GPS 最初是专门为军事用途而开发的,用于引导飞机、人员和炸弹。接收器通常位于开阔区域,可以在视线范围内访问卫星。由于 GPS 可用于商业用途,这些新用途需要 GPS 信号穿透头顶障碍物,例如树木和屋顶。因此,“辅助 GPS”或 A-GPS 解决方案诞生了。使用 A-GPS,手机会下载各种文件,其中包含卫星的轨道和状态以及未来 7 天的大致 GPS 卫星位置,以帮助快速确定手机的位置。
其他智能手机是否收到影响?

其他智能手机同样难逃影响,其中就包括Fairphone,一款因保护隐私而被很多人信任的手机。该手机最大的特色是允许用户维护手机并在损坏时自行更换零件。尽管 Fairphone 以保护用户隐私而著称,但所有 Fairphone 型号都包含高通芯片,可能会执行高通的软件。因此,Fairphone 在与 Qualcomm XTRA 服务共享个人数据方面存在同样的问题。尽管未经测试,但我们怀疑同样的隐私问题,会影响其他使用高通芯片的智能手机,包括所谓的加密手机或加密手机。
结论

高通的专有软件不仅会下载一些文件到用户手机,以帮助更快地建立 GPS 位置,还会上传我们的个人数据,例如设备的唯一 ID、国家代码、手机运营商代码(允许识别国家和移动运营商)、操作系统和版本以及设备上的软件列表。
高通收集大量敏感数据并通过不安全和过时的 HTTP 协议传输的事实表明,他们并不关心用户的隐私和安全。这里无需推测高通是否与各种政府部门、间谍机构合作,但当流量也可能被独裁者以及其他不需要与高通合作的压制性政府拦截时,将会产生难以预料的风险。

综合整理,仅供参考;版权归属原作者,分享仅供学习参考,如有不当,请联系我们处理。



END
往期推荐01前优步安全主管因泄露数百万人数据而被判刑!02注意 ! 5月1日起,这几项网络安全标准/办法/指南开始实施!03行业方案|智能网联汽车数据安全治理框架

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存