注意!安卓手機芯片供應商偷偷收集用戶數據
據稱,一家制造無線電信硬件的跨國高通公司一直在秘密收集私人用戶數據。大約三分之一的安卓設備使用了高通制造的芯片,包括三星和蘋果智能手機。
高通的技術用于各種移動設備,包括智能手機、可穿戴設備以及工業和汽車應用。他們為 5G、藍牙和 Wi-Fi 6 等無線技術的發展做出了貢獻。該公司專注于無線生態系統中使用的其他幾種技術,包括 AR/VR 和設備充電功能。
4 月 27 日,Nitrokey 發布的研究稱,高通公司生產的硬件在未經用戶同意的情況下將用戶的私人數據(包括 IP 地址)上傳到屬于該公司的云端。
由于索尼的服務條款(研究人員使用的設備的供應商)、Android 或 /e/OS 均未提及與高通的數據共享,這可能違反了通用數據保護條例 (GDPR)。
報告背后的研究員 Paul Privacy 聲稱,除了對同意的擔憂之外,數據包是通過 HTTP 協議發送的,沒有使用 HTTPS、SSL 或 TLS 加密。這使它們容易受到攻擊。
通過收集這些數據并使用手機的唯一 ID 和序列號創建歷史記錄,網絡上的任何人——包括惡意行為者、政府機構、網絡管理員和電信運營商都可以輕松地監視用戶。
該公司回應研究人員稱,上述數據收集符合高通XTRA隱私政策。此服務與輔助 GPS (A-GPS) 相關,有助于為移動設備提供準確的衛星位置。
“XTRA 服務”隱私政策規定:
通過這些軟件應用程序,可能會收集位置數據、唯一標識符(例如芯片組序列號或國際用戶 ID)、有關設備上安裝和/或運行的應用程序的數據、配置數據(例如品牌、型號和無線運營商、操作系統和版本數據、軟件構建數據以及有關設備性能的數據,例如芯片組性能、電池使用情況和熱數據。還可能從第三方來源獲取個人數據,例如數據經紀人、社交網絡、其他合作伙伴或公共來源。
據報道,該政策最初并未說明正在收集 IP 地址,但在研究完成后,該公司更新了其隱私政策,將 IP 地址包含在收集的數據中。此外,更新后的政策披露,公司出于“質量目的”將此數據存儲 90 天。
研究人員說:“Qualcomm 的專有軟件不僅將一些文件下載到我們的手機以幫助更快地建立 GPS 位置,而且還上傳我們的個人數據。這為我們創建了一個完全獨特的簽名,可以進行行為跟蹤并顯著減少用戶的隱私。不管我們是否關閉了 GPS。”
正如公司隱私政策中所述,高通可能會從用戶手機中收集多種類型的數據。該列表包括:
唯一身份
芯片組名稱
芯片組序列號
XTRA軟件版本
移動國家代碼
移動網絡代碼(允許識別國家和無線運營商)
操作系統類型和版本
設備品牌和型號
設備上的軟件列表
IP地址
據稱,雖然研究人員使用的是索尼制造的智能手機,但研究結果也適用于其他采用高通芯片的智能手機,例如 Fairphone。
發表文章后,高通向 Cybernews 發送了官方評論。據該公司稱,Nitrokey 發表的研究“充滿了不準確之處”,并且“似乎是出于作者銷售其產品的愿望。” 該公司發言人聲稱,高通僅在適用法律允許的情況下收集個人信息。
高通發言人表示:“正如我們公開的隱私政策所披露的那樣,高通技術使用非個人的、匿名的技術數據,使設備制造商能夠為其客戶提供終端用戶期望從當今智能手機獲得的基于位置的應用程序和服務。”
