La società di sicurezza tedesca Nitrokey (la stessa che vende le chiavi di sicurezza per l’accesso 2FA) ha recentemente pubblicato un rapporto affermando di aver scoperto una funzionalità non registrata nei chip Qualcomm Snapdragon che attua una massiccia raccolta dati e trasmette le informazioni dell’utente direttamente ai server Qualcomm.
La funzione non dipende dal sistema operativo Android, il che significa che i dati vengono trasmessi anche se il sistema operativo non è coinvolto (e potenzialmente ciò fa rientrare nello schema anche i molti router che usano chip Qualcomm).
Nitrokey ha installato una versione di Android senza Google su un telefono Sony Xperia XA2 dotato di un chip Qualcomm Snapdragon 630 e ha scoperto che i dati venivano trasmessi al server izatcloud.net, che appartiene a Qualcomm.
Raccolta dati Qualcomm: ecco quali informazioni raccoglie sugli utenti
Secondo il rapporto, i chip Qualcomm raccolgono e trasmettono le informazioni dell’utente, tra cui l’identificatore univoco dello smartphone, il nome del chip, il numero di serie del chip, la versione del software XTRA, il codice del paese mobile e il codice della rete mobile, il tipo e la versione dell’operatore o del sistema operativo, il dispositivo produttore e modello, elenco programmi sul dispositivo, indirizzo IP e altri dati.
I dati vengono trasmessi tramite il protocollo HTTP non sicuro senza alcuna crittografia aggiuntiva, rendendoli accessibili praticamente a chiunque possa leggere i dati identificativi univoci inviati a Izat Cloud.
Questa funzione interessa circa il 30% dei telefoni in tutto il mondo, compresi i telefoni Android e gli iPhone che utilizzano i modem Qualcomm. La conclusione di Nitrokey nel post del blog è che il firmware AMSS personalizzato di Qualcomm ha la priorità su qualsiasi sistema operativo e, poiché utilizza il protocollo HTTP, è possibile creare una firma univoca del dispositivo basata sui dati raccolti, a cui possono accedere terze parti.
Qualcomm ha risposto alla segnalazione affermando che la trasmissione dei dati è conforme alla politica sulla privacy del servizio XTRA, che di fatto consente all’azienda di raccogliere i suddetti dati dell’utente. Tuttavia, il fatto che i dati vengano trasmessi tramite il protocollo HTTP non sicuro ha sollevato preoccupazioni circa la privacy e la sicurezza delle informazioni degli utenti.
L’importanza della sicurezza e della privacy online
Questo rapporto sottolinea l’importanza di garantire che i dati degli utenti vengano trasmessi in modo sicuro e in conformità con le politiche sulla privacy. Sottolinea inoltre la necessità di una maggiore trasparenza da parte delle aziende tecnologiche in merito ai dati che raccolgono e al modo in cui vengono utilizzati.
Man mano che più dispositivi si connettono e raccolgono più dati, è importante che gli utenti siano consapevoli di come vengono utilizzate le loro informazioni e abbiano la possibilità di controllarle.
La soluzione universale: Pi-hole
Per evitare che i dati vengano inviati all’indirizzo izatcloud.net, è possibile utilizzare Pi-hole a livello di rete per bloccare a monte la richiesta DNS.
