高通GPS服务“隐蔽后门”事件分析
2023-5-9 17:55:47 Author: 奇安信威胁情报中心(查看原文) 阅读量:16 收藏

一、背景

2023年5月6日,一篇名为“高通隐蔽后门被发现”的微信文章发布[1],引起奇安信威胁情报中心关注。

该文章翻译自德国一家安全厂商Nitrokey于4月25日发布的文章“Smartphones With Popular Qualcomm Chip Secretly Share Private Information With US Chip-Maker”(“使用高通芯片的智能手机与美国芯片制造商秘密分享私人数据”)[2]。原文提到使用高通芯片的智能手机会自动向高通的GPS定位服务发送带有设备标识信息的数据。

该文章发布后在国外引发讨论,也包括一些反驳之声,比如Martijn Braam在4月25日发布的评论文章[3]中认为,Nitrokey的描述言过其实,存在推销自己产品的嫌疑。Nitrokey在原文尾部对来自各方的讨论进行了回应。

奇安信威胁情报中心基于Nitrokey文章原文和各方讨论文章整理出此次事件的前因后果,然后使用Android设备在真实环境进行测试验证,最后对此事件的可能影响给出我们的看法。

二、Nitrokey原文的分析解读

(一)测试过程

Nitrokey使用的Android系统为一款不包含Google组件的开源版本“/e/OS”,将其安装在Sony Xperia XA2手机上,该手机使用高通骁龙630处理器。测试时在/e/OS安装配置界面显式关闭了GPS定位服务。手机没有插入SIM卡,网络数据收发只能通过WiFi网络,使用Wireshark监控WiFi网络中的数据包。

手机接入WiFi网络后,会与归属于高通的域名izatcloud.net进行网络通信,数据以HTTP明文传输。

(二)通信域名

通信域名[4]用于高通提供的辅助GPS(A-GPS)定位服务XTRA。

该网页有一个描述高通服务的链接(Qualcomm Services Description)[5],里面包括之前被称为“XTRA”服务的高通GNSS协助服务(Qualcomm GNSS Assistance Service),并给出了该服务所收集的数据信息。

收集的信息如下:

随机生成的唯一软件ID,与您或其他ID无关

芯片组名称和序列号

高通GNSS协助服务软件版本

移动设备国家代码和网络代码(允许识别国家和无线运营商)

操作系统和版本

设备品牌和型号

连接到服务器的日期和时间

自上次启动应用程序处理器(application processor)和调制解调器(modem)以来的时间

设备上的高通(QTI)相关软件列表

(与其他网络请求一样)服务器会收到发送数据的设备IP地址

(三)主要观点

(1)高通的服务用户不知情

Nitrokey认为上面所述的高通数据分享情况未在他们所用的测试设备Sony或者Android或者“/e/OS”的服务内容中提及,属于用户不知情的情况。

(2)文中谈论的并非后门

Nitrokey在5月2日的更新部分提到他们所说的不是后门,其他报道误传了文章的内容。

(3)Nitrokey在5月2日的更新部分重申他们坚持的观点是:高通未经用户同意收集设备ID和IP地址,不能被视为合法或者道德的,并且传输的数据未经加密。

三、关于Nitrokey文章的讨论

在4月25日Nitrokey发布原始文章不久,出现了各方讨论之声,Nitrokey随后将针对这些评论的回应更新在了原始文章后面。我们整理了其中提及的一些相关文章。

(一)Martijn Braam

4月25日,Martijn Braam针对Nitrokey文章发布了一篇评论[3]。关于高通GPS服务收集数据这块内容,作者认为:

  1. 这是为了实现A-GPS(辅助GPS)功能,能更可靠地获得GPS定位;
  2. 该功能不限于使用高通芯片的设备,在同时具有GPS和互联网功能的设备中几乎都有这种做法;
  3. 网络IP是连接互联网所必需的,不能算个人数据。

(二)GrapheneOS

GrapheneOS是Nitrokey推出的NitroPhone手机的操作系统供应商。GrapheneOS在4月25日针对Nitrokey原文发布了技术评论[6],指出Nitrokey文章中存在一些技术细节的错误。评论中的主要观点如下:

(1)NitroKey并没有发现一个后门。

(2)高通的XTRA和IZat是两个不同的服务,但因为历史原因这两个服务共用同一个域名。

高通的XTRA只是通过HTTPS GET请求提供GNSS数据的静态下载文件,这种辅助GPS服务也出现在包括Broadcom在内的所有其他主要GNSS(GPS、GLONASS等)的实现中。

IZat是一个类似于谷歌和苹果服务的网络定位服务,设备可以发送附近的手机信号塔、WiFi网络和蓝牙设备的列表,以及它们的信号强度,以接收回一个位置估计。它似乎还支持其他功能,如位置共享。IZat似乎是一个相当侵犯隐私的服务,但它不是默认启用的,与XTRA没有直接关系。(注:IZat服务在高通的服务列表中也有提及)。

高通公司曾经为IZat和XTRA使用izatcloud.net,这两者是完全独立的服务。他们将XTRA转移到xtracloud.net,以明确它是一个独立的东西。一些使用旧SoC或配置的设备可能仍然使用混乱的izatcloud.net网址,导致人们将这些东西混为一谈。

(3)高通骁龙芯片中没有已知的后门

在高通Pixels设备上,XTRA(PSDS,Predicted Satellite Data Service,即“预测卫星数据服务”)由操作系统内的xtra-service实现,SUPL由蜂窝无线电固件实现。操作系统选择了用于XTRA和SUPL的URL。

高通骁龙芯片和Google的Tensor芯片中都没有已知的后门,也没有人发现任何后门的证据。人们不知道XTRA(PSDS)或SUPL并不意味着它们是后门。

4月27日,GrapheneOS发帖[7]证实高通的XTRA守护程序会发送设备相关数据信息,并且用户未被告知。

4月30日,GrapheneOS总结道[8],“我们并不是想说NitroKey的产品有什么问题,只是他们的帖子内容需要纠正,他们谈论的问题是真实的,但他们弄错了一些重要的细节。”

同日,GrapheneOS发布更新[9],阻止高通设备的XTRA服务守护程序发送HTTPS请求时在User-Agent首部中包含设备序列号,并提到稍后会完全移除User-Agent首部内容。

(三)Computer Base

4月26日德国IT媒体网站Computer Base报道了Nitrokey发布的文章,并引用了高通的声明[10]。Computer Base认为,如果对于某些服务来说数据交换是必须的,那么用未加密的连接是不合适的。高通对此的声明是,自2016年起就开始在所有设备上使用HTTPS连接。

(四)The Register

The Register在4月27日也报道了此次事件[11],报道引用了一个移动领域业内人士的评论,称“手机底层发生的事实际并未被大众了解”,几乎所有的芯片制造商都会以某种方式从网络中获取数据,而且由于软件的复杂性,新旧软件的数量都很多,这些问题可能会一直存在。

此外,The Register也提到移动设备数据传输可能会在高风险环境中造成问题,尤其当网络IP地址在与硬件标识信息之类的数据结合起来时。

四、真实环境测试验证

由于Nitrokey的文章中没有展示与izatcloud.net通信的HTTP数据包信息,奇安信威胁情报中心对其中报道的情况进行测试验证。使用的测试设备信息如下:Google Pixel XL,搭载高通骁龙821芯片。
测试设备连接WiFi后,抓取到与izatcloud.net通信数据包内容如下。通过GET请求向izatcloud.net的子域名xtrapath[1-3].izatcloud.net请求下载用于A-GPS服务的文件数据。传递给服务器的数据存放在GET请求的User-Agent内容中,各部分信息用“/”分隔,其中比较明显的有设备型号(“Google/Pixel#XL/marlin”)。

通过测试可以看到正如Nitrokey文章中所说,高通提供GPS服务时会采集设备数据。测试设备机型Google Pixel XL于2016年发行,这也说明采集的数据至少在较老的设备上以未加密的明文形式进行网络传输

五、影响面分析

尽管上传的数据信息不多,不过Nitrokey认为这些数据可以创造一个独特的设备签名,用于行为跟踪。虽然GrapheneOS发布的信息表明目前高通GPS服务采集的设备数据是用HTTPS连接传输,然而在测试中发现至少在2016年发行的设备上该服务的传输数据没有加密,而明文传输的数据更容易被不法分子截获利用。

可以查询到测试时访问过的相关域名xtrapath[1-3].izatcloud.net的客户端访问量级非常大,受影响的终端数运营商应该可以有比较准确的评估。

另外值得注意的是,Nitrokey测试时在用户界面关闭了对GPS定位服务的使用,而设备仍会向高通的GNSS协助服务发送请求,意味着这一功能用户并不能完全控制是否启用。即使用户不想使用GPS服务,高通的GNSS协助服务也会自动传输设备相关数据。

六、总结

结合各方讨论内容和实际测试,显然网传的“高通隐蔽后门”夸大了事实。此次事件的焦点在于高通提供GPS服务时未在用户知情和明确授权的情况下采集设备数据,这在注重隐私的一方看来是不可接受的,并且在较老的设备上这些数据以明文的方式在网络中传输,存在被截获利用的风险。

就像我们在关于这次事件的讨论中所看到的,各类移动设备的底层软硬件供应商在提供服务时或多或少都会采集数据。在越来越注重隐私保护的今天,过去常用的数据采集方法可能不再适用于当前环境。尽管存在由于软硬件复杂性导致的历史遗留问题,如果供应商对用户的隐私保护需求不多加注意,谨慎对待,像此次高通因设备数据采集不规范而最终被误传“隐蔽后门”的事件很难说不会再次上演。

七、参考链接

[1].https://mp.weixin.qq.com/s/gRIP9NzvTMBfSrsCWvT4Ew

[2].https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker

[3].https://blog.brixit.nl/nitrokey-dissapoints-me/

[4].http://izatcloud.net/

[5].https://www.qualcomm.com/site/privacy/services

[6].https://lr.slipfox.xyz/r/privacy/comments/12yii9u/german_security_company_nitrokey_proves_that/jhojlr7/?context=3

[7].https://grapheneos.social/@GrapheneOS/110271570368417397

[8].https://grapheneos.social/@GrapheneOS/110282956527624208

[9].https://grapheneos.social/@GrapheneOS/110284403992561226

[10].https://www.computerbase.de/2023-04/standort-dienst-qualcomm-widerspricht-vorwuerfen-der-datensammlung/

[11].https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/

点击阅读原文ALPHA 6.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247506274&idx=1&sn=c75970aa33ad3855a05b8599612cb365&chksm=ea662e15dd11a703cdd84836cdcb65ab2019d9af08f0ba05b124453ca77768c6ae5b8baf89d1#rd
如有侵权请联系:admin#unsafe.sh