Специализирующаяся на информационной безопасности фирма Nitrokey обнаружила, что смартфоны на базе процессоров Snapdragon тайно пересылают личные данные пользователей компании Qualcomm, выпускающей эти самые чипы. Более того, информация отправляется без согласия и даже в незашифрованном виде.
Специалисты выяснили, что процессоры Qualcomm сами по себе выполняют отправку данных, обходя любые потенциальные настройки операционной системы Android и встроенные механизмы защиты. Как следствие, это происходит даже на сборках с «вырезанными» сервисами Google. Для проверки был использован смартфон Sony Xperia XA2, на который установили операционную систему /e/OS — модификацию Android с открытым исходным кодом, преимуществом которой разработчики указывают конфиденциальность, поскольку в ней нет сервисов Google.
При первичной настройке устройства в него не вставляли SIM-карту и не включали определение местоположения по GPS. Аппарат был подключён только к контролируемой сети Wi-Fi, которую мониторили с помощью профессионального ПО Wireshark. Как только смартфон подключился к беспроводной сети, маршрутизатор назначил ему локальный IP-адрес, и тот начал генерировать трафик. Удивительно, но первым же делом исследователи увидели запрос к android.clients.google.com, хотя на гаджете не было ни одного приложения или сервиса Google. Данный хост обслуживает Google Play Store для периодической регистрации устройств, определения местоположения, поиска приложений и многих других функций. Следом аппарат отправил запрос на connection.ecloud.global — авторы /e/OS отмечают, что это замена проверки подключения к серверу Google для androidconnectioncheck.gstatic.com. Ещё через пару секунд трафик начал отправляться на izatcloud.net.
Путём исследования удалось выяснить, что домен izatcloud.net принадлежит компании Qualcomm Technologies, Inc. При этом данные отправлялись по незащищённому протоколу HTTP, что делает их уязвимыми для перехвата. Выяснилось, что Qualcomm собирает достаточно большой объём информации: уникальный идентификатор устройства, название и серийный номер чипсета, версию программного обеспечения XTRA, код страны и сотового оператора, тип и версию операционной системы, бренд и модель гаджета, время работы процессора и модема, список установленных приложений и IP-адрес. Более того, компания также определяет точное местоположение пользователей. И всё это благодаря наличию в процессорах Qualcomm собственной операционной системы XTRA, работающей независимо от прочего ПО на устройстве.
Технически подкованным пользователям эксперты рекомендуют заблокировать службу Qualcomm XTRA или самостоятельно перенаправить этот трафик. В Qualcomm уже отреагировали на произошедшее и заявили, что сбор данных вполне законный и не противоречит политике конфиденциальности компании.