Никакой конфиденциальности
В проведенном специалистами Nitrokey исследовании было проверено несколько смартфонов, очищенных от сервисов Google (чтобы предотвратить передачу информации этой компании). В частности, для исследования взяли Sony Xperia XA2 без SIM-карты. Устройство подключили к Wi-Fi и начали мониторить трафик. Согласно полученным данным, независимо от наличия ее сервисов на смартфоне, данные все равно передаются – к Qualcomm.
Интересно На пороге революции: новая технология делает процессоры в миллион раз более производительными
Анализ сетевого трафика показал, что смартфон посылал данные по адресу, по которому находится облачное хранилище компании Qualcomm под названием Izat Cloud, входящему в состав XTRA Service. Более того, данные передавались незащищенным протоколом HTTP, что делает их уязвимыми для перехвата хакерами или оператором связи.
Что такое Izat Cloud и XTRA Service? Эти инструменты корректируют работу A-GPS – технологии, отвечающей за ускорение геопозиционирования. Ни Sony (производитель смартфона), ни Google (разработчик Android), ни Qualcomm (производитель процессора) не раскрывают пользователям информацию об этих инструментах, вы не сможете найти ее в инструкции к устройству или на сайте с его описанием.
Исследователи Nitrokey решили, что сбор данных без прямого согласия пользователей противоречит общему регламенту защиты данных (GDPR), поэтому они обратились к Qualcomm. Как ни странно, там быстро ответили, указав, что сбор данных вполне законен и не противоречит политике конфиденциальности Qualcomm. Компания также сослалась на политику конфиденциальности XTRA Service. В этом документе говорилось, что процессоры Snapdragon передают Qualcomm следующую информацию:
- Уникальный идентификатор.
- Наименование чипсета.
- Серийный номер чипсета.
- Версия ПО XTRA.
- Телефонный код страны.
- Телефонный код оператора.
- Имя и версия операционной системы.
- Производитель и модель смартфона.
- Прошедшее время с момента включения процессора.
- Список ПО, установленного на смартфоне.
- IP-адрес.
В Qualcomm уточнили, что эти данные хранятся в течение 90 дней.
XTRA Service работает не с операционной системой смартфона, а непосредственно в процессоре – на прошивке под названием AMSS. Можно считать, что именно AMSS является основной операционной системой устройства, а Android (или другая операционная система на смартфоне) – это лишь внешняя оболочка, с которой взаимодействует пользователь. Именно AMSS обладает полным контролем над всеми возможностями смартфона, в том числе доступом к камере, микрофону, информации о местонахождении и всем файлам в хранилище.
Не исключено, что аналогичная проблема безопасности есть не только у процессоров Qualcomm, но и у чипов других производителей, в том числе Apple. На этапе разработки у них может быть предусмотрен "тайный ход", обеспечивающий полный, незаметный и неконтролируемый доступ к любым датчикам и модулям на смартфоне, что открывает безграничные возможности слежения за любым человеком.