Axborot xavfsizligi sohasidagi apparat yechimlari bilan shug‘ullanuvchi Nitrokey nemis kompaniyasining blogiga ko‘ra, Qualcomm yagona chipli platformalarida hujjatsiz funksionallik aniqlangan, buning natijasida smartfonlardan ma’lumotlarning bir qismi to‘g‘ridan-to‘g‘ri Qualcomm serverlariga yuboriladi. — hech qanday operatsion tizim ishtirokisiz.
Tadqiqotchilar yopiq manbali Google ilovalari va xizmatlaridan tozalangan maxsus Android smartfonlarini sinovdan o'tkazishdi — eksperimentning tozaligi uchun Google-ga ma'lumotlarni uzatishni bloklash. Ma'lum bo'lishicha, bu foydalanuvchi haqida ko'p narsalarni o'rganish imkonini beruvchi ba'zi muhim ma'lumotlarning sizib chiqishiga to'sqinlik qilmagan.
Qualcomm Snapdragon 630-ga ega Sony Xperia XA2 smartfoniga sof Android-ni o'rnatgandan so'ng, u faqat Wi-Fi va SIM kartasiz ishlatilgan. Trafikni boshqarish uchun Wireshark dasturi ma'lumotlar sizib chiqishini kuzatishda yordam berish uchun ishlatilgan. Ma’lum bo‘lishicha, Android’ni Google xizmatlarisiz o‘rnatgandan keyin ham smartfon kompaniya xizmatlari bilan bog‘lanishga urinishgan, biroq u “tozalangan” bo‘lsa ham Androiddan buni kutish kerak edi.
Kutilmaganda qurilma izatcloud.net serverlari bilan ham aloqaga chiqdi. Ma'lum bo'lishicha, ular Qualcomm kompaniyasiga tegishli, OTning manba kodini tekshirish chog'ida ushbu domenga havolalar aniqlanmagan. Nitrokey ma'lumotlariga ko'ra, Qualcomm chiplari qurilmalarning 30 foizida, jumladan Android va iPhone modellarida qo'llaniladi. Ikkinchisi, xususan, Qualcomm modemlaridan foydalanadi. Qualcomm serverlariga ma'lumotlarni uzatish ko'plab smartfonlar va chipsetlarni o'z ichiga olishi mumkin. Ma'lumotlar qo'shimcha shifrlashsiz xavfsiz HTTP protokoli orqali yuborilgan, shuning uchun Qualcomm tomonidan Izat Cloud-ga yuborilgan noyob identifikatsiya ma'lumotlariga hamma kirishi mumkin.
Qualcomm ma'lumotlar uzatilishi XTRA Xizmati Maxfiylik siyosatiga mos kelishini aytdi, unga ko'ra kompaniya haqiqatda noyob smartfon identifikatorini, chipset nomini, chipset seriya raqamini, XTRA dasturiy ta'minot versiyasini, mobil mamlakat kodini, mobil tarmoq kodini to'plashi mumkin, bu sizga sozlash imkonini beradi. faqat mamlakat, balki operator, operatsion tizimning turi va versiyasi, qurilma ishlab chiqaruvchisi va modeli, qurilmalardagi dasturlar ro'yxati, IP manzili va boshqa ma'lumotlar. Bundan tashqari, XTRA xizmati A-GPS yordamchi joylashishni aniqlash tizimi bilan bevosita bog'liq ko'rinadi.
Nitrokey, Qualcomm-ning maxsus AMSS proshivka dasturi nafaqat har qanday operatsion tizimga nisbatan ustuvor huquqlarga ega, balki sizga ham yaratish imkonini beradi degan xulosaga keldi. to'plangan ma'lumotlardan foydalangan holda noyob qurilma imzosi, HTTP protokoli tufayli har qanday uchinchi tomon tomonidan osongina kuzatilishi mumkin — Qualcomm bir yoki bir nechta davlatlarning razvedka idoralari bilan hamkorlik qilishi mumkinligi haqida gapirmasa ham bo'ladi. Nitrokey, oddiy foydalanuvchining bunday ma'lumotlarni uzatishdan o'zini himoya qilish deyarli mumkin emasligini xabar qildi & mdash; GPS moduli o'chirilgan va boshqa himoya funktsiyalari faollashtirilgan bo'lsa ham. Ba'zi himoya usullari mavjud, lekin ular maxsus tayyorgarlikni talab qiladi.
Manba: