您所在的位置: 首頁 >
安全研究 >
安全通告 >
安卓手機(jī)芯片供應(yīng)商偷偷收集用戶數(shù)據(jù)
注意!安卓手機(jī)芯片供應(yīng)商偷偷收集用戶數(shù)據(jù)
據(jù)稱,一家制造無線電信硬件的跨國高通公司一直在秘密收集私人用戶數(shù)據(jù)。大約三分之一的安卓設(shè)備使用了高通制造的芯片,包括三星和蘋果智能手機(jī)。
高通的技術(shù)用于各種移動(dòng)設(shè)備,包括智能手機(jī)、可穿戴設(shè)備以及工業(yè)和汽車應(yīng)用。他們?yōu)?5G、藍(lán)牙和 Wi-Fi 6 等無線技術(shù)的發(fā)展做出了貢獻(xiàn)。該公司專注于無線生態(tài)系統(tǒng)中使用的其他幾種技術(shù),包括 AR/VR 和設(shè)備充電功能。
4 月 27 日,Nitrokey 發(fā)布的研究稱,高通公司生產(chǎn)的硬件在未經(jīng)用戶同意的情況下將用戶的私人數(shù)據(jù)(包括 IP 地址)上傳到屬于該公司的云端。
由于索尼的服務(wù)條款(研究人員使用的設(shè)備的供應(yīng)商)、Android 或 /e/OS 均未提及與高通的數(shù)據(jù)共享,這可能違反了通用數(shù)據(jù)保護(hù)條例 (GDPR)。
報(bào)告背后的研究員 Paul Privacy 聲稱,除了對(duì)同意的擔(dān)憂之外,數(shù)據(jù)包是通過 HTTP 協(xié)議發(fā)送的,沒有使用 HTTPS、SSL 或 TLS 加密。這使它們?nèi)菀资艿焦簟?/span>
通過收集這些數(shù)據(jù)并使用手機(jī)的唯一 ID 和序列號(hào)創(chuàng)建歷史記錄,網(wǎng)絡(luò)上的任何人——包括惡意行為者、政府機(jī)構(gòu)、網(wǎng)絡(luò)管理員和電信運(yùn)營商都可以輕松地監(jiān)視用戶。
該公司回應(yīng)研究人員稱,上述數(shù)據(jù)收集符合高通XTRA隱私政策。此服務(wù)與輔助 GPS (A-GPS) 相關(guān),有助于為移動(dòng)設(shè)備提供準(zhǔn)確的衛(wèi)星位置。
“XTRA 服務(wù)”隱私政策規(guī)定:
通過這些軟件應(yīng)用程序,可能會(huì)收集位置數(shù)據(jù)、唯一標(biāo)識(shí)符(例如芯片組序列號(hào)或國際用戶 ID)、有關(guān)設(shè)備上安裝和/或運(yùn)行的應(yīng)用程序的數(shù)據(jù)、配置數(shù)據(jù)(例如品牌、型號(hào)和無線運(yùn)營商、操作系統(tǒng)和版本數(shù)據(jù)、軟件構(gòu)建數(shù)據(jù)以及有關(guān)設(shè)備性能的數(shù)據(jù),例如芯片組性能、電池使用情況和熱數(shù)據(jù)。還可能從第三方來源獲取個(gè)人數(shù)據(jù),例如數(shù)據(jù)經(jīng)紀(jì)人、社交網(wǎng)絡(luò)、其他合作伙伴或公共來源。
據(jù)報(bào)道,該政策最初并未說明正在收集 IP 地址,但在研究完成后,該公司更新了其隱私政策,將 IP 地址包含在收集的數(shù)據(jù)中。此外,更新后的政策披露,公司出于“質(zhì)量目的”將此數(shù)據(jù)存儲(chǔ) 90 天。
研究人員說:“Qualcomm 的專有軟件不僅將一些文件下載到我們的手機(jī)以幫助更快地建立 GPS 位置,而且還上傳我們的個(gè)人數(shù)據(jù)。這為我們創(chuàng)建了一個(gè)完全獨(dú)特的簽名,可以進(jìn)行行為跟蹤并顯著減少用戶的隱私。不管我們是否關(guān)閉了 GPS。”
正如公司隱私政策中所述,高通可能會(huì)從用戶手機(jī)中收集多種類型的數(shù)據(jù)。該列表包括:
● 唯一身份
● 芯片組名稱
● 芯片組序列號(hào)
● XTRA軟件版本
● 移動(dòng)國家代碼
● 移動(dòng)網(wǎng)絡(luò)代碼(允許識(shí)別國家和無線運(yùn)營商)
● 操作系統(tǒng)類型和版本
● 設(shè)備品牌和型號(hào)
● 設(shè)備上的軟件列表
● IP地址
據(jù)稱,雖然研究人員使用的是索尼制造的智能手機(jī),但研究結(jié)果也適用于其他采用高通芯片的智能手機(jī),例如 Fairphone。
發(fā)表文章后,高通向 Cybernews 發(fā)送了官方評(píng)論。據(jù)該公司稱,Nitrokey 發(fā)表的研究“充滿了不準(zhǔn)確之處”,并且“似乎是出于作者銷售其產(chǎn)品的愿望。” 該公司發(fā)言人聲稱,高通僅在適用法律允許的情況下收集個(gè)人信息。
高通發(fā)言人表示:“正如我們公開的隱私政策所披露的那樣,高通技術(shù)使用非個(gè)人的、匿名的技術(shù)數(shù)據(jù),使設(shè)備制造商能夠?yàn)槠淇蛻籼峁┙K端用戶期望從當(dāng)今智能手機(jī)獲得的基于位置的應(yīng)用程序和服務(wù)。”
來源:E安全