、
安卓手机芯片供应商偷偷收集用户数据
据称,一家制造无线电信硬件的跨国高通公司一直在秘密收集私人用户数据。大约三分之一的安卓设备使用了高通制造的芯片,包括三星和苹果智能手机。
高通的技术用于各种移动设备,包括智能手机、可穿戴设备以及工业和汽车应用。他们为 5G、蓝牙和 Wi-Fi 6 等无线技术的发展做出了贡献。该公司专注于无线生态系统中使用的其他几种技术,包括 AR/VR 和设备充电功能。
4 月 27 日,Nitrokey 发布的研究称,高通公司生产的硬件在未经用户同意的情况下将用户的私人数据(包括 IP 地址)上传到属于该公司的云端。
由于索尼的服务条款(研究人员使用的设备的供应商)、Android 或 /e/OS 均未提及与高通的数据共享,这可能违反了通用数据保护条例 (GDPR)。
报告背后的研究员 Paul Privacy 声称,除了对同意的担忧之外,数据包是通过 HTTP 协议发送的,没有使用 HTTPS、SSL 或 TLS 加密。这使它们容易受到攻击。
通过收集这些数据并使用手机的唯一 ID 和序列号创建历史记录,网络上的任何人——包括恶意行为者、政府机构、网络管理员和电信运营商都可以轻松地监视用户。
该公司回应研究人员称,上述数据收集符合高通XTRA隐私政策。此服务与辅助 GPS (A-GPS) 相关,有助于为移动设备提供准确的卫星位置。
“XTRA 服务”隐私政策规定:
通过这些软件应用程序,可能会收集位置数据、唯一标识符(例如芯片组序列号或国际用户 ID)、有关设备上安装和/或运行的应用程序的数据、配置数据(例如品牌、型号和无线运营商、操作系统和版本数据、软件构建数据以及有关设备性能的数据,例如芯片组性能、电池使用情况和热数据。还可能从第三方来源获取个人数据,例如数据经纪人、社交网络、其他合作伙伴或公共来源。
据报道,该政策最初并未说明正在收集 IP 地址,但在研究完成后,该公司更新了其隐私政策,将 IP 地址包含在收集的数据中。此外,更新后的政策披露,公司出于“质量目的”将此数据存储 90 天。
研究人员说:“Qualcomm 的专有软件不仅将一些文件下载到我们的手机以帮助更快地建立 GPS 位置,而且还上传我们的个人数据。这为我们创建了一个完全独特的签名,可以进行行为跟踪并显着减少用户的隐私。不管我们是否关闭了 GPS。”
正如公司隐私政策中所述,高通可能会从用户手机中收集多种类型的数据。该列表包括:
唯一身份
芯片组名称
芯片组序列号
XTRA软件版本
移动国家代码
移动网络代码(允许识别国家和无线运营商)
操作系统类型和版本
设备品牌和型号
设备上的软件列表
IP地址
据称,虽然研究人员使用的是索尼制造的智能手机,但研究结果也适用于其他采用高通芯片的智能手机,例如 Fairphone。
发表文章后,高通向 Cybernews 发送了官方评论。据该公司称,Nitrokey 发表的研究“充满了不准确之处”,并且“似乎是出于作者销售其产品的愿望。” 该公司发言人声称,高通仅在适用法律允许的情况下收集个人信息。
高通发言人表示:“正如我们公开的隐私政策所披露的那样,高通技术使用非个人的、匿名的技术数据,使设备制造商能够为其客户提供终端用户期望从当今智能手机获得的基于位置的应用程序和服务。”
因掩盖数据泄露,Uber优步前首席安全官被判三年缓刑
2023年5月5日,据报道:美国打车软件Uber(优步)前安全主管Joe Sullivan被判处三年缓刑。此前陪审团于2022年判定其犯有妨碍司法调查、非法掩盖Uber数据盗窃案的罪名。
文章来源 :安全学习那些事儿、E安全
精彩推荐