IT之傢 4 月 28 日消息,德國安全公司 Nitrokey 近日發佈博文,表示在高通驍龍中發現瞭未記錄的功能,在不需要安卓系統參與的情況下,收集部分手機數據直接發送給高通服務器。
Nitrokey 在配備高通驍龍 630 芯片的索尼 Xperia XA2 手機上安裝瞭無谷歌服務的安卓版本,且沒有插入 SIM 卡,隻能通過 WLAN 方式聯網。
Nitrokey 使用 Wireshark 工具進行抓包,發現數據會傳輸給 izatcloud.net 服務器,而該服務器屬於高通公司。
IT之傢註:包括安卓手機和 iPhone(使用高通的通訊模組)在內,全球有 30% 的手機使用高通芯片。
這些數據是通過不安全的 HTTP 協議發送的,沒有任何額外的加密,基本上所有人都可以訪問和讀取發送到 Izat Cloud 的唯一標識數據。
高通隨後回應,數據傳輸符合 XTRA 服務的隱私政策,這實際上允許該公司收集唯一的智能手機標識符、芯片組名稱、芯片組序列號、XTRA 軟件版本、移動國傢代碼和移動網絡代碼、運營商或者操作系統的類型和版本、設備的制造商和型號、設備上的程序列表、IP 地址和其他數據。
Nitrokey 在博文中得出的結論是,高通定制的 AMSS 固件不僅優先於任何操作系統,而且由於使用 HTTP 協議,可以根據收集到的數據創建一個獨特的設備簽名,而且這些信息都可以被第三方訪問。
發表評論 取消回复