Martin Borko
3. mája 2023

Analytici obvinili Qualcomm, že špehuje používateľ. Výrobca čipov to popiera

Nemecká spoločnosť Nitrokey obvinila Qualcomm, že špehuje používateľov smartfónov.

spehovanie a sukromie
Zdroj: Pixabay.com, Vosveteit.sk (koláž)

Smartfón nosí vo vrecku nohavíc prakticky každý z nás. Využívame ho na prihlasovanie do e-mailových účtov, na sociálne siete alebo k finančným aplikáciám. Pre mnohých je preto ochrana súkromia a dát v telefóne dôležitá. No zdá sa, že telefóny, ktoré poháňajú čipy od spoločnosti Qualcomm, nemusia byť tak bezpečné, ako si myslíme, píšu analytici zo spoločnosti Nitrokey.

K tomu, že čipy spoločnosti Qulacomm špehujú používateľov, sa analytici dostali po vykonaní experimentu za pomoci takzvaného „DeGoogled Phone“ telefónu. Ide o telefón, do ktorého je nahratá špeciálna verzia softvéru /e/OS, ktorá zo systému odstraňuje prepojenia na spoločnosť Google. Tento operačný systém vás prakticky odpojí od Google a ďalších sledovačov. Za týmto účelom použili smartfón Sony Xperia XA2 s procesorom Qualcomm Snapdragon 630. Analytici hovoria, že do telefónu nevložili ani SIM kartu a ani nezapli funkciu GPS. Zapli len funkciu Wi-Fi, ktorú monitorovali pomocou služby Wireshark. Pre tých, ktorí nevedia, tak Wireshark je profesionálny softvérový nástroj, ktorý umožňuje monitorovať a analyzovať všetok prenos posielaný cez sieť.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Telefón začal komunikovať s externými servermi

Ako začali s analýzou toku dát, tak výskumníci zistili, že telefón sa snažil pripojiť ku adrese android.clients.google.com, no neúspešne. Následne telefón nahradil Google adresu connectivity.ecloud.global, ktorý nahradil server spoločnosti Google. Podľa dokumentácie /e/OS ide o bežný postup.

No čo bolo zaujímavé v záznamoch DNS je, že smartfón sa snažil pripojiť k adrese „izatcloud.net“. Analytici spočiatku nevedeli, o čo ide. No vďaka službe WHOIS odhalili, že doména patrí spoločnosti Qualcomm Technologies, Inc.. Pre tých, ktorí nevedia, tak ide o spoločnosť, ktorej čipy poháňajú približne 30% všetkých Android smartfónov na svete.

Analytici tvrdia, že Qualcomm špehuje používateľov

Odborníci na online bezpečnosť následne začali hľadať v podmienkach používania telefónu a /e/OS, či je tam prítomná informácia o tom, že zariadenia zdieľa údaje so službou izatcloud.net, resp. so spoločnosťou Qualcomm. Zistili, že podmienky nič o zdieľaní informácií nehovoria.

„S nikým nezdieľame žiadne individuálne informácie.“, píše sa v dokumentácii OS.

Nitrokey sa rovnako pozreli aj na zdrojový kód operačného systému, ktorý je k dispozícii na Gitlabe. Nenašli v ňom žiadne odkazy na službu Izat Cloud. Znamená to, že softvér, ktorý odosiela dáta, je podľa analytikov nainštalovaný priamo v čipe. Podľa Nitrokey prebieha tento zber dát bez riadneho súhlasu používateľa.

Nitrokey následne hľadali ďalšie podrobnosti o tom, aké dáta sú zo zariadenia odosielané na vzdialený server. Prvým zistením bolo, že sa odosielajú prostredníctvom protokolu HTTP a nie sú šifrované pomocou HTTPS, SSL alebo TLS.

„To znamená, že ktokoľvek iný v sieti, vrátane hackerov, vládnych agentúr, správcov siete, telekomunikačných operátorov, miestnych aj zahraničných, nás môže jednoducho špehovať zhromažďovaním týchto údajov, ich ukladaním a vytváraním histórie záznamov pomocou jedinečného ID a sériového čísla telefónu.“, hovoria analytici.

Qualcomm na obavy bezpečnostných expertov odpovedal, že spomínaný zber údajov je v súlade so zásadami ochrany osobných údajov Qualcomm XTRA. Táto služba súvisí s asistovaným GPS (A-GPS) a pomáha mobilnému zariadeniu poskytovať presné polohy satelitov. Čo ale hovoria zásady ochrany osobných údajov „XTRA“?

„Prostredníctvom softvérových aplikácií môžeme zhromažďovať údaje o polohe, jedinečné identifikátory (napríklad sériové číslo čipovej sady alebo medzinárodné ID používateľa), údaje o aplikáciách nainštalovaných a/alebo spustených na zariadení, konfiguračné údaje, ako je značka, model, informácie o operátorovi, údaje o operačnom systéme a verzii, údaje o zostavení softvéru a údaje o výkone zariadenia, ako je výkon čipovej sady, využitie batérie a tepelné údaje. Osobné údaje môžeme získať aj zo zdrojov tretích strán, ako sú sprostredkovatelia údajov, sociálne siete, iní partneri alebo verejné zdroje.“

Po dokončení výskumu Nitrokey, Qualcomm zahrnul aj ďalšie informácie, ku akým pristupuje. Ide napríklad o IP adresu. Okrem iného aktualizované zásady ochrany odhalili, že spoločnosť drží tieto dáta na svojich serveroch po dobu 90 dní.

„Proprietárny softvér spoločnosti Qualcomm nielenže sťahuje niektoré súbory do nášho telefónu, aby pomohol rýchlejšie určiť polohu GPS, ale tiež nahráva naše osobné údaje. To vytvára náš úplne jedinečný podpis, ktorý umožňuje sledovanie správania a výrazne znižuje súkromie používateľov. A to všetko bez ohľadu na to, ak máme vypnuté GPS,“ hovorí výskumník.

Ako je uvedené v nových aktualizovaných podmienkach používania, tak Qualcomm môže pristupovať k širokej škále údajov. Ide napríklad o údaje ako sú:

  • Unikátne ID
  • Názov čipsetu
  • Sériové číslo čipsetu
  • Verzia softvéru XTRA
  • Mobilný kód krajiny
  • Kód mobilnej siete
  • Typ operačného systému a verzia
  • Značka a model zariadenia
  • Čas od posledného spustenia aplikačného procesora a modemu
  • Zoznam softvéru v zariadení
  • IP adresa

Qualcomm odmieta, že by špehoval používal

Rovnako ale treba povedať, že Qualcomm odmieta tvrdenie Nitrokey, že by zbieral dáta o používateľoch bez ich súhlasu. Spoločnosť uviedla, že analýza je plná nepresností a zdá sa, že je motivovanou túžbou autora predať svoj produkt Pre tých, ktorí nevedia, tak spoločnosť predáva upravenú verziu smartfónu Pixel od spoločnosti Google so zameraním na ochranu súkromia.

„Článok je plný nepresností a zdá sa, že je motivovaný túžbou autora predať svoj produkt,“ uviedol hovorca spoločnosti pre The Register v e-maile. „Qualcomm zhromažďuje osobné údaje iba vtedy, keď to povoľujú platné zákony.“

„Ako je uvedené v našich verejne dostupných zásadách ochrany osobných údajov, príslušné technológie Qualcommu používajú neosobné, anonymizované technické údaje, aby umožnili výrobcom zariadení poskytovať svojim zákazníkom aplikácie a služby založené na polohe, ktoré koncoví používatelia očakávajú od súčasných smartfónov.“

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre