Процесори Qualcomm збирають та передають особисті дані користувачів Android-пристроїв без їх відома та згоди. Про це стало відомо із дослідження ІБ-компанії Nitrokey.
Фахівці Nitrokey використовували кілька смартфонів, на яких було встановлено кастомні прошивки Android без сервісів Google. Таким чином вони хотіли унеможливити стеження з боку Google. Одним з таких смартфонів був Sony Xperia XA2 на базі прошивки e/OS, яка повністю позбавлена сервісів Google і не містить механізмів відстеження дій користувачів.
Проте аналіз мережного трафіку показав, що смартфон посилав дані на адресу, за якою розташоване хмарне сховище компанії Qualcomm під назвою Izat Cloud. Більше того, дані передавалися незахищеним протоколом HTTP, що робить їх вразливими для перехоплення.
Серед даних, які збирає Qualcomm, виявилися унікальний ідентифікатор пристрою, назва та серійний номер чіпсету, версія програмного забезпечення XTRA, код країни та оператора мобільного зв’язку, тип та версія операційної системи, бренд та модель пристрою, час роботи процесора та модему, список встановлених додатків. та IP-адресу пристрою.
Джерелом цих даних є служба Qualcomm XTRA, яка запускається із прошивки Qualcomm AMSS (Advanced Mobile Subscriber Software). Ця прошивка відповідає за роботу процесорів Qualcomm та контролює мережеве обладнання, мікрофон та камеру смартфона. Служба Qualcomm XTRA призначена для надання точних супутникових позицій для пристроїв з підтримкою A-GPS (Assisted GPS), і, як з’ясували фахівці Nitrokey, вона не може бути вимкнена або видалена користувачем.
Компанія Nitrokey заявила, що така поведінка компанії Qualcomm порушує міжнародний регламент із захисту даних (GDPR). Юристи Qualcomm у свою чергу відповіли, що збір даних є законним і відповідає політиці конфіденційності Qualcomm XTRA.
