Nitrokey 在配備高通驍龍 630 芯片的索尼 Xperia XA2 手機上安裝了無谷歌服務(wù)的安卓版本,且沒有插入 SIM 卡,只能通過 WLAN 方式聯(lián)網(wǎng)。
Nitrokey 使用 Wireshark 工具進行抓包,發(fā)現(xiàn)數(shù)據(jù)會傳輸給 izatcloud.net 服務(wù)器,而該服務(wù)器屬于高通公司。
注:包括安卓手機和 iPhone(使用高通的通訊模組)在內(nèi),全球有 30% 的手機使用高通芯片。
這些數(shù)據(jù)是通過不安全的 HTTP 協(xié)議發(fā)送的,沒有任何額外的加密,基本上所有人都可以訪問和讀取發(fā)送到 Izat Cloud 的唯一標識數(shù)據(jù)。
高通隨后回應(yīng),數(shù)據(jù)傳輸符合 XTRA 服務(wù)的隱私政策,這實際上允許該公司收集唯一的智能手機標識符、芯片組名稱、芯片組序列號、XTRA 軟件版本、移動國家代碼和移動網(wǎng)絡(luò)代碼、運營商或者操作系統(tǒng)的類型和版本、設(shè)備的制造商和型號、設(shè)備上的程序列表、IP 地址和其他數(shù)據(jù)。
Nitrokey 在博文中得出的結(jié)論是,高通定制的 AMSS 固件不僅優(yōu)先于任何操作系統(tǒng),而且由于使用 HTTP 協(xié)議,可以根據(jù)收集到的數(shù)據(jù)創(chuàng)建一個獨特的設(shè)備簽名,而且這些信息都可以被第三方訪問。