Как сообщает блог немецкой компании Nitrokey, занимающейся аппаратными решениями в области информационной безопасности, в однокристальных платформах Qualcomm обнаружена недокументированная функциональность, благодаря которой некоторые данные со смартфонов отправляются непосредственно на серверы Qualcomm — без какого-либо участия операционной системы.
Исследователи проверили смартфоны на кастомных Android, очищенные от приложений и сервисов Google с закрытым кодом — чтобы блокировать передачу данных Google для чистоты эксперимента. Выяснилось, что это не уберегло от утечки некоторых важных сведений, позволяющих немало узнать о пользователе.
После установки чистого Android на смартфон Sony Xperia XA2 с Qualcomm Snapdragon 630, его использовали только с Wi-Fi и без SIM-карты. Для контроля трафика применялась программа Wireshark, помогающая отследить утечки данных. Выяснилось, что даже после установки Android без сервисов Google смартфон делал попытки связаться с сервисами компании, но этого можно было ожидать от Android, даже если та «очищена».
Неожиданно, что дополнительно устройство вышло на связь и с серверами izatcloud.net. Как выяснилось, те принадлежат Qualcomm, при этом проверка исходного кода ОС не выявила каких-либо отсылок к данному домену. Как сообщают в Nitrokey, чипы Qualcomm используются в 30 % устройств, включая как модели на Android, так и iPhone. В последних, в частности, применяются модемы Qualcomm. Вполне вероятно, что передача данных на серверы Qualcomm может касаться многих смартфонов и чипсетов. Пересылка данных осуществлялась по незащищённому протоколу HTTP, без дополнительного шифрования, поэтому уникальные идентификационные данные, отправлявшиеся Qualcomm в Izat Cloud, могут быть доступны буквально всем желающим.
В Qualcomm сообщили, что пересылка данных соответствует политике конфиденциальности XTRA Service Privacy Policy, в соответствии с которой компания фактически может собирать уникальный идентификатор смартфона, название чипсета, серийный номер чипсета, версию программного обеспечения XTRA, мобильный код страны, код мобильной сети, позволяющий установить не только страну, но и оператора, тип и версию операционной системы, производителя и модель устройства, список программ на устройстве, IP-адрес и другие данные. Более того, сервис XTRA, похоже, имеет прямое отношение к вспомогательной системе позиционирования A-GPS.
В Nitrokey пришли к выводу, что специальная прошивка AMSS компании Qualcomm не только имеет приоритетные права перед любой операционной системой, но и позволяет создать с помощью собранных данных уникальную сигнатуру устройства, которую, благодаря использованию протокола HTTP, может довольно легко отследить любая третья сторона — не говоря о том, что Qualcomm, возможно, сотрудничает со спецслужбами одной или более стран. В Nitrokey сообщили, что защититься от подобной передачи данных обычному пользователю практически невозможно — даже с отключённым GPS-модулем и активированными другими защитными функциями. Некоторые способы защиты есть, но они требуют специальной подготовки.