Nitrokey, una società di sicurezza, ha scoperto che alcuni modelli di smartphone equipaggiati con processori Snapdragon inviano in modo non autorizzato i dati personali degli utenti a Qualcomm, il produttore dei chip per smartphone e non solo. Questi dati vengono inviati senza il consenso degli utenti e in forma non crittografata, il che significa che possono essere facilmente intercettati e compromessi.
AGGIORNAMENTO A FINE ARTICOLO
Una brutta vicenda che “getta fango” su Qualcomm: i processori Snapdragon accusati di invio dati all’azienda senza consenso dell’utente
Gli esperti hanno notato che i processori Qualcomm aggirano le impostazioni di protezione e i meccanismi di Android, inviando i dati anche su assiemi privi dei servizi Google. Questo comportamento anomalo è stato osservato su uno smartphone Sony Xperia XA2, equipaggiato con il sistema operativo open source /e/ OS. Durante il test, il traffico generato dal dispositivo è stato monitorato tramite il software Wireshark, un’utility utilizzata per analizzare il traffico di rete. Gli esperti hanno notato subito una richiesta ad android.clients.google.com, nonostante non fosse presente alcuna app Google sul dispositivo. In seguito, il dispositivo ha inviato una richiesta a connection.ecloud.global, che gli sviluppatori di /e/ OS sostengono essere un sostituto per il controllo della connessione al server di Google.
Dopo una ricerca approfondita, è stato scoperto che il dominio izatcloud.net appartiene a Qualcomm Technologies, Inc. I dati sono stati inviati tramite il protocollo HTTP non sicuro, il che li rende vulnerabili all’intercettazione. Inoltre, gli esperti hanno scoperto che Qualcomm raccoglie una quantità abbastanza grande di informazioni: l’identificatore univoco del dispositivo, il nome e il numero di serie del chipset, la versione del software XTRA, il codice paese e l’operatore di telefonia mobile, il tipo e la versione del sistema operativo, la marca e il modello del gadget, il tempo di funzionamento del processore e del modem, l’elenco delle applicazioni installate e l’indirizzo IP. Inoltre, l’azienda determina anche la posizione esatta degli utenti, il che potrebbe costituire una grave violazione della privacy.
Gli esperti raccomandano agli utenti esperti di tecnologia di bloccare il servizio Qualcomm XTRA o di reindirizzare il traffico. Questo servizio, secondo Qualcomm stessa, agisce come di seguito:
Attraverso queste applicazioni software, potremmo raccogliere dati sulla posizione, identificatori univoci (come un numero di serie del chipset o un ID abbonato internazionale), dati sulle applicazioni installate e/o in esecuzione sul dispositivo, dati di configurazione come marca, modello e operatore wireless, il sistema operativo e i dati sulla versione, i dati sulla build del software e i dati sulle prestazioni del dispositivo come le prestazioni del chipset, l’utilizzo della batteria e i dati termici.
Potremmo anche ottenere dati personali da fonti di terze parti come broker di dati, social network, altri partner o fonti pubbliche.
Tuttavia, bloccare il servizio Qualcomm XTRA potrebbe non essere alla portata di tutti gli utenti, il che significa che molti di noi potrebbero essere costretti a rimanere esposti a questo rischio per un po’ di tempo. Qualcomm ha già risposto all’incidente, sostenendo che la raccolta di dati è legale e non contrasta con la politica sulla privacy dell’azienda. Tuttavia, gli utenti potrebbero essere preoccupati per la quantità di dati che vengono raccolti senza il loro consenso, il che solleva alcune domande sulle pratiche di privacy di Qualcomm e sulle misure di protezione che dovrebbero essere implementate per garantire la sicurezza degli utenti.
Il rischio della raccolta di dati personali senza il consenso degli utenti è che tali informazioni potrebbero essere utilizzate per fini non autorizzati, come il marketing invasivo, la profilazione degli utenti, la sorveglianza e la violazione della privacy. Inoltre, se i dati non sono protetti adeguatamente, potrebbero essere compromessi da criminali informatici o altri attori malevoli. Ed è questo il caso visto che il protocollo utilizzato è non crittografato (HTTP). In futuro, sapremo qualcosa di più sul problema dei processori Snapdragon di Qualcomm sotto accusa per invio dei dati a terzi.
AGGIORNAMENTO
Il portavoce di Qualcomm ha deciso di rispondere alle accuse:
L’articolo è pieno di imprecisioni e sembra essere motivato dal desiderio dell’autore di vendere il proprio prodotto. Qualcomm raccoglie informazioni personali solo se consentito dalle leggi vigenti. Come indicato nell’informativa sulla privacy disponibile al pubblico (https://www.qualcomm.com/site/privacy/services), le tecnologie Qualcomm in questione utilizzano informazioni non personali e anonime. Le tecnologie Qualcomm utilizzano dati tecnici non personali e anonimizzati per consentire ai produttori di dispositivi di fornire ai propri clienti applicazioni e servizi basati sulla localizzazione che gli utenti finali si aspettano dagli smartphone di oggi