.
Análise Os telefones celulares que usam chipsets da Qualcomm podem transmitir dados às vezes classificados como informações pessoais, especificamente endereços IP, de volta à Qualcomm. Mas onde essa transmissão está ocorrendo, não é segredo e vem acontecendo há anos.
Isso não significa, no entanto, que não haja risco de privacidade em telefones baseados na Qualcomm ou em dispositivos com conjuntos de chips rivais para indivíduos como jornalistas ou defensores dos direitos humanos com adversários sofisticados. Esses cenários, no entanto, são incomuns e não são motivo de preocupação para a maioria dos usuários de telefones celulares.
Recentemente, a empresa de segurança de hardware Nitrokey publicou um consultivo alegando que “smartphones com chips Qualcomm enviam secretamente dados pessoais para a Qualcomm” e o fazem “sem o consentimento do usuário, sem criptografia e até mesmo ao usar uma distribuição Android sem Google”.
O autor do post “Paul Privacy” descobriu que um smartphone Sony Xperia XA2 com um processador Qualcomm Snapdragon 630, executando /e/OS, uma versão do Android sem serviços do Google, começou a se comunicar com o Izat Cloud por meio de HTTP desprotegido.
A postagem afirma que o Izat faz parte do serviço XTRA da Qualcomm. Como a Qualcomm explica no izatcloud.net site, “o Serviço Qualcomm Location XTRA gera e fornece posições de satélite precisas por longos períodos de tempo para um dispositivo móvel.”
É basicamente uma maneira de tornar o GPS mais preciso e confiável, reduzindo o uso de hardware de rádio com uso intensivo de energia. Os servidores Izat fornecem informações sobre as posições dos satélites, que os telefones Qualcomm baixam por HTTP. Fazer isso revela aos servidores os endereços IP públicos dos telefones e, de acordo com o NitroKey, alguns metadados do dispositivo. Isso é realmente o que tudo isso se resume.
“O firmware proprietário da Qualcomm não está apenas baixando alguns arquivos para nosso telefone para ajudar a estabelecer a localização do GPS mais rapidamente, mas também carrega nossos dados pessoais, como o ID exclusivo dos dispositivos, nosso código de país (Alemanha neste caso), nosso código de operadora de celular (permitindo a identificação do país e da operadora móvel), nosso sistema operacional e versão e uma lista de software no dispositivo”, como disse Nitrokey, argumentando que esses metadados fornecidos equivalem a uma assinatura única por pessoa que prejudica a privacidade e ocorre mesmo quando o GPS está desligado.
Um porta-voz da Qualcomm contestou a pesquisa. “O artigo está repleto de imprecisões e parece ser motivado pelo desejo do autor de vender seu produto”, disse um porta-voz da empresa. Strong The One em um e-mail. “A Qualcomm só coleta informações pessoais quando permitido pela lei aplicável.”
“Conforme divulgado em nosso site disponível publicamente política de Privacidadeas tecnologias relevantes da Qualcomm usam dados técnicos não pessoais e anônimos para permitir que os fabricantes de dispositivos forneçam a seus clientes aplicativos e serviços baseados em localização que os usuários finais esperam dos smartphones de hoje.”
Martijn Braam, desenvolvedor principal do postmarketOS baseado em Alpine-Linux, publicou uma demissão igualmente contundente da pesquisa como marketing vazio. Ele observou que a comunicação HTTP iniciada pela Qualcomm não contém nenhum dado privado. “É só baixar um almanaque de GPS da Qualcomm para A-GPS [assisted GPS]”, observou.
O Qualcomm Location Service, anteriormente conhecido como IZat Location Services ou IZat, é um serviço opcional. Ele funciona baixando periodicamente para os telefones dados sobre a localização de torres de celular próximas e pontos de acesso Wi-Fi. Os dados podem ser aumentados com dados do sensor do dispositivo, como medições de giroscópio ou acelerômetro, para ajudar nos cálculos de localização e economizar energia da bateria.
“O Qualcomm Location Service nos envia periodicamente um ID de software exclusivo, a localização do seu dispositivo (longitude, latitude e altitude e sua incerteza) e torres de celular próximas e pontos de acesso Wi-Fi, intensidade do sinal e hora (coletivamente, ‘Dados de localização’ )”, o golias Snapdragon explicado em seu site. “Como em qualquer comunicação pela Internet, também recebemos o endereço IP que seu dispositivo usa.”
A postagem da Nitrokey afirma que o serviço XTRA da Qualcomm não faz parte do /e/OS ou do Android, mas opera a partir do firmware da Qualcomm conhecido como AMSS. “Esse sistema operacional secreto opera no processador de banda larga (modem) e gerencia a comunicação em tempo real com as torres de celular”, afirmou o comunicado.
Piffle
Um ex-executivo da indústria móvel familiarizado com a tecnologia da Qualcomm disse Strong The One que caracterizar o AMSS como “um sistema operacional secreto” é um “absurdo total”.
No entanto, explicou nossa fonte, o que acontece nos telefones em um nível baixo não é realmente compreendido pelo público em geral.
“Do jeito que os chipsets funcionam, existe uma família de processadores de aplicativos”, explicou nossa fonte. “Por baixo, há um kernel que hospeda e virtualiza o sistema operacional. E há vários subsistemas – o modem, o Wi-Fi, periféricos como USB, o driver de vídeo e a GPU. Todos os fornecedores têm grandes quantidades de software como o AMSS que é executado lá. E eles podem escolher o que compilar a partir dessa imagem.”
Todos os fabricantes de chipsets, como Huawei, Samsung, Qualcomm e Apple, disse nossa fonte, “qualquer um desses caras terá todos os tipos de buscas diferentes que farão [over the network].”
GrapheneOS, uma versão do Android com foco na privacidade, revela esses tipos de transmissões em sua documentação. A única maneira de ter certeza sobre o comportamento do telefone é testá-lo com uma ferramenta de tráfego de rede como Wiresharkdisse nossa fonte.
Isso é necessário, disse nossa fonte, “porque você não pode obter uma resposta direta dos fornecedores. Alguns desses recursos podem ter cinco ou 10 interruptores para ativá-lo. Há muitos softwares antigos. Há muitos softwares novos . É muito complexo e existe em grande quantidade. E evoluiu de geração em geração. É bastante hediondo, como qualquer sistema operacional importante. A única coisa que eu não chamaria de ‘encoberto’, porque tem sido lá para sempre.”
Por outro lado…
As transmissões de dados de dispositivos móveis podem representar um problema em ambientes de alto risco porque os identificadores de rede, como endereços IP pode ser considerado dados pessoais, especialmente quando combinados com identificadores de hardware ou outros tipos de dados.
“Digamos que os iranianos estejam sentados observando todo o tráfego dentro e fora de seu país no link SS7, ou na internet, e toda vez que eles veem uma dessas solicitações, que é totalmente fácil de filtrar, eles olham para o identificador e dizer: ‘este é um doméstico iraniano? Este é o código do nosso país ou de outra pessoa?’”, disse nossa fonte.
“E então eles podem rastrear qualquer identificador que esteja na mensagem e então eles podem dizer, ‘Oh, bem, nós temos essas 25 pessoas que residem em nosso país’, e eles podem estar carregando SIMs iranianos, mas eles pode ter sido capaz de associar que houve uma troca de SIM com base em um identificador mais permanente, como um identificador de hardware.
“Se você quer se esconder em um país, nunca pode ligar aquele telefone e fazer com que qualquer identificador de hardware seja usado em outra rede, porque eles podem tê-lo capturado. Em alguns países, eles têm a oportunidade de conhecer todo o hardware que entra .”
Se sua vida depende de não ser rastreado pelo telefone, não use o telefone. Para cenários de privacidade menos urgentes, aproveite o aparelho escolhido sabendo que você provavelmente está deixando algum tipo de pegada digital em algum lugar. ®
.
