Nitrokey, công ty bảo vệ anh ấy đã phát hiện ra rằng một số mẫu điện thoại thông minh được trang bị bộ vi xử lý Snapdragon gửi dữ liệu cá nhân của người dùng đến Qualcomm, nhà sản xuất chip cho điện thoại thông minh và hơn thế nữa, theo cách trái phép. Dữ liệu này đến được gửi mà không có sự đồng ý của người dùng và ở dạng không được mã hóa, có nghĩa là chúng có thể dễ dàng bị chặn và xâm nhập.
CẬP NHẬT Ở CUỐI BÀI VIẾT
Chuyện xấu “ném bùn” vào Qualcomm: Vi xử lý Snapdragon bị tố gửi dữ liệu cho hãng mà không có sự đồng ý của người dùng
Các chuyên gia lưu ý rằng bộ vi xử lý Qualcomm bỏ qua cài đặt bảo mật và các cơ chế của Android, gửi dữ liệu ngay cả trên các tổ hợp không có dịch vụ của Google. Hành vi bất thường này đã được quan sát thấy trên điện thoại thông minh Sony Xperia XA2, được trang bị hệ điều hành mã nguồn mở /e/OS. Trong quá trình thử nghiệm, lưu lượng do thiết bị tạo ra được theo dõi bằng phần mềm Wireshark, một tiện ích dùng để phân tích lưu lượng mạng. Các chuyên gia nhận thấy một ngay lập tức yêu cầu android.clients.google.com, mặc dù thực tế là không có ứng dụng Google trên thiết bị. Sau đó, thiết bị đã gửi một yêu cầu tới connection.ecloud.global, mà các nhà phát triển hệ điều hành /e/ tuyên bố là một sự thay thế cho trình kiểm tra kết nối máy chủ của Google.
Sau khi nghiên cứu sâu rộng, người ta thấy rằng izatcloud.net thuộc về Qualcomm Technologies, Inc. Dữ liệu được gửi qua giao thức HTTP không sicuro, khiến chúng dễ bị đánh chặn. Ngoài ra, các chuyên gia đã phát hiện ra rằng Qualcomm thu thập một lượng thông tin khá lớn: số nhận dạng thiết bị duy nhất, tên chipset và số sê-ri, phiên bản phần mềm XTRA, mã quốc gia và nhà cung cấp dịch vụ di động, loại và phiên bản hệ điều hành, kiểu dáng và mẫu mã. của tiện ích, thời gian hoạt động của bộ xử lý và modem, danh sách các ứng dụng đã cài đặt và địa chỉ IP. Hơn nữa, công ty cũng xác định vị trí chính xác của người dùng, đây có thể là một sự xâm phạm quyền riêng tư nghiêm trọng.
Các chuyên gia khuyên người dùng am hiểu công nghệ nên chặn dịch vụ Qualcomm XTRA hoặc để chuyển hướng lưu lượng truy cập. Dịch vụ này, theo chính Qualcomm, hoạt động như sau:
Thông qua các ứng dụng phần mềm này, chúng tôi có thể thu thập dữ liệu vị trí, số nhận dạng duy nhất (chẳng hạn như số sê-ri chipset hoặc ID thuê bao quốc tế), dữ liệu về các ứng dụng được cài đặt và/hoặc chạy trên thiết bị của bạn, dữ liệu cấu hình như nhà sản xuất, kiểu máy và nhà cung cấp dịch vụ không dây, hoạt động dữ liệu hệ thống và phiên bản, dữ liệu bản dựng phần mềm và dữ liệu hiệu suất thiết bị như hiệu suất chipset, mức sử dụng pin và dữ liệu nhiệt.
Chúng tôi cũng có thể lấy dữ liệu cá nhân từ các nguồn của bên thứ ba, chẳng hạn như nhà môi giới dữ liệu, mạng xã hội, đối tác khác hoặc nguồn công khai.
Tuy nhiên, việc chặn dịch vụ Qualcomm XTRA có thể không nằm trong tầm tay của tất cả người dùng, điều đó có nghĩa là nhiều người trong chúng ta có thể buộc phải tiếp tục đối mặt với rủi ro này trong một thời gian. Qualcomm đã phản hồi về vụ việc, tuyên bố rằng việc thu thập dữ liệu là hợp pháp và không mâu thuẫn với chính sách bảo mật của công ty. Tuy nhiên, người dùng có thể lo ngại về lượng dữ liệu được thu thập mà không có sự đồng ý của họ, điều này đặt ra một số câu hỏi về thực tiễn bảo mật của Qualcomm và các biện pháp bảo vệ cần được áp dụng để đảm bảo an toàn cho người dùng.
Rủi ro thu thập dữ liệu cá nhân mà không có sự đồng ý của người dùng là thông tin này có thể được sử dụng để mục đích trái phép, chẳng hạn như tiếp thị xâm lấn, profiling của người dùng, giám sát và xâm phạm quyền riêng tư. Ngoài ra, nếu dữ liệu của bạn không được bảo vệ đúng cách, dữ liệu đó có thể bị bọn tội phạm mạng hoặc các tác nhân độc hại khác xâm phạm. Và đây là trường hợp do giao thức được sử dụng không được mã hóa (HTTP). Trong tương lai, chúng ta sẽ biết nhiều hơn về vấn đề bộ vi xử lý Snapdragon của Qualcomm bị cáo buộc gửi dữ liệu cho bên thứ ba.
CẬP NHẬT
Người phát ngôn của Qualcomm đã quyết định đáp trả các cáo buộc:
Bài báo chứa đầy những điểm không chính xác và dường như được thúc đẩy bởi mong muốn bán sản phẩm của tác giả. Qualcomm chỉ thu thập thông tin cá nhân khi được pháp luật hiện hành cho phép. Như đã lưu ý trong chính sách quyền riêng tư được công khai (https://www.qualcomm.com/site/privacy/services), các công nghệ của Qualcomm được đề cập sử dụng thông tin ẩn danh và không thể nhận dạng cá nhân. Các công nghệ của Qualcomm sử dụng dữ liệu kỹ thuật phi cá nhân và ẩn danh để cho phép các nhà sản xuất thiết bị cung cấp cho khách hàng của họ các ứng dụng và dịch vụ dựa trên vị trí mà người dùng cuối mong đợi từ điện thoại thông minh ngày nay
