近日,德国安全公司Nitrokey在其博客中表示,在高通骁龙芯片中发现了一项未记录的功能。
该功能可以在不需要安卓系统参与的情况下,直接收集部分手机数据并发送至高通服务器。
Nitrokey在配备高通骁龙630芯片的索尼Xperia XA2手机上安装了无谷歌服务的安卓版本,且没有插入SIM卡,只能通过WLAN方式联网,并使用Wireshark抓包进行测试。
测试结果显示,数据会传输给izatcloud.net服务器,而该服务器属于高通公司。这些数据是通过不安全的HTTP协议发送的,没有任何额外的加密,基本上所有人都可以访问和读取发送到Izat Cloud的唯一标识数据。
随后,高通回应称数据传输符合XTRA服务的隐私政策,允许收集智能手机标识符、芯片组名称、芯片组序列号、XTRA软件版本、移动国家代码和移动网络代码、运营商或者操作系统的类型和版本、设备的制造商和型号、设备上的程序列表、IP地址和其他数据。
Nitrokey得出的结论是,由于使用HTTP协议,可以根据收集到的数据创建一个独特的设备签名,而且这些信息都可以被第三方访问。全球有30%的手机使用高通芯片,包括安卓手机和iPhone(使用高通的通讯模组)在内。
(8169926)