德國安全公司 Nitrokey 表示在高通驍龍中發現了未記錄的功能,在不需要安卓系統參與的情況下,收集部分手機數據直接發送給高通服務器。
Nitrokey 在配備高通驍龍 630 芯片的索尼 Xperia XA2 手機上安裝了無谷歌服務的安卓版本,且沒有插入 SIM 卡,只能通過 WLAN 方式聯網。Nitrokey 使用 Wireshark 工具進行抓包,發現數據會傳輸給izatcloud.net 服務器,該服務器屬于高通公司。這些數據是通過不安全的 HTTP 協議發送的,沒有任何額外的加密,基本上所有人都可以訪問和讀取發送到 Izat Cloud 的唯一標識數據。
Nitrokey 得出的結論是,高通定制的 AMSS 固件不僅優先于任何操作系統,而且由于使用 HTTP 協議,可以根據收集到的數據創建一個獨特的設備簽名,而且這些信息都可以被第三方訪問。
來源:
