LINUX.ORG.RU
ФорумTalks

Чипы Qualcomm собирают и передают данные производителю смартфонов

 ,


2

4

Помню, надо мной в нескольких темах смеялись, что я параноийю, Сноуден — выдумщик, и чипы западных производителей не могут и не будут незаметно шпионить за пользователями.

Вот пруф обратного: чипы Qualcomm собирают и передают информацию, в нешифрованном виде, без участия ОС. Даже если на телефон установить ОС с выпиленной телеметрией Google, чип Qualcomm всё равно будет продолжать незаметно шпионить и передавать вашу информацию производителю через открытые каналы.

https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker



Последнее исправление: emorozov (всего исправлений: 1)
Ответ на: комментарий от vaddd

Сейчас собирают все что можно и что нельзя.

Потому что приставка «народные» у депутатов и милиции куда-то исчезла.

i_am_not_ai
()
Ответ на: комментарий от t184256

Вообще-то тут проблема в том, что квалком не только качает данные, но и отправляет идентификатор смартфона и делает это даже когда геолокация отключена и даже когда на смарт установлен почищенный андроид.

Xenius ★★★★★
()
Ответ на: комментарий от Xenius

А вот тут пруфцов бы, в формате pcap желательно, а то ничего весомее фантазий на основе privacy policy ещё никто не приносил. Как и пруфов достаточной почищенности андроида.

В среднем андроид-девайсе есть столько реальных механизмов слива данных, что доколупывание до AGPS выглядит как отвлечение внимания от проблемы. Все качают AGPS, даже нокия N900 вообще без андроидов, совершенно в открытую, заранее, и это ИМХО вообще не проблема, а если и проблема, то куда меньшая, чем поганый FUD из шапки.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ну так добудь какой-нибудь смартфон на Qualcomm и проверь, не так уж это и сложно

Все качают AGPS, даже нокия N900 вообще без андроидов

Проблема не в том что качает AGPS, а что посылает при скачивании идентифицирующие конкретный девайс данные.

Xenius ★★★★★
()
Ответ на: комментарий от t184256

В среднем андроид-девайсе есть столько реальных механизмов слива данных, что доколупывание до AGPS выглядит как отвлечение внимания от проблемы.

Вы, похоже, так и не прочитали и потенциальную проблему не осознали. Тем, что проприетарный софт сливает все, до чего дотянется - никого не удивишь. В данном случае речь идет о том, что этим занимаются не софтовики, где что-то можно отключить, что-то пропатчить, от чего-то отказаться, а изготовители чипов. Более того, если исходить из «нитрозаметки» - делают они это из-под опенсорсной системы, какими-то встроенными средствами самих чипов. Вдумайтесь - нечасто изготовители чипов пишут в своих официальных текстах, что они воспользуются имеющимся инет-соединением и будут чего-то собирать.

То, что эти «нитро» чего-то там рекламируют - дело десятое. Но если этим в самом деле занимаются чипы помимо софта, чипсет, имеющий приоритет над операционкой и свои соображения по доступу в сеть - это плохой признак. Нужна более профессиональная проверка происходящего.

vaddd ★☆
()
Ответ на: комментарий от Xenius

Пока доказующие не озаботились бременем доказательства — не посылает. IP не в счет.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Никто не обязан вам чего-то доказывать и не вам запрещать публиковать. Любой подозрительный факт, лобое подобное обнаруженное обращение в сеть, тем более вкупе с квалковомовскими документами - заслуживает обнародования и обсуждения.

vaddd ★☆
()
Ответ на: комментарий от vaddd

Подозреваю, что ты — крайне неприятный тип.

t184256 ★★★★★
()

Помню, надо мной в нескольких темах смеялись, что я параноийю, Сноуден — выдумщик, и чипы западных производителей не могут и не будут незаметно шпионить за пользователями.

Ссылок на те комментарии можно, хотя бы парочку?

hobbit ★★★★★
()
Ответ на: комментарий от emorozov

Вот это всё, конечно, абсолютно необходимо для получения данных A-GPS:
...
Mobile country code
Mobile network code (allowing identification of country and wireless operator)
IP address
...

Без этих данных дёргать AGPS не имеет смысла.

ksa242
()

таки юсерспейс = ISA x errata x microcode.
что там выше + тпм|плутон творят одному анб известно.
учитывая хак-чипы в type-c x type-c, таки сноуден был прав.

etwrq ★★★★★
()
Ответ на: комментарий от t184256

«Новое» открытие

25.04.2023

«The author of the article has found that the device connects to izatcloud.net and instead of doing the logical thing and opening izatcloud.net in a browser they do a whois request and then figure out it’s from Qualcomm,…»

оказывается давно известно

05.12.2016

«Assisted GPS/GNSS data provided by Qualcomm for compatible receivers is often being served over HTTP without SSL. Additionally …»

«… WHOIS record show that both domains – gpsonextra.net and izatcloud.net are owned by Qualcomm.»

и HTTP заменено на HTTPS в конце 2016-го (на что у Qualcomm ушло где-то 2 года). Но сколько лет понадобилось(тся) вендорам, чтобы обновить все прошивки…

Advisory: Insecure Transmission of Qualcomm Assisted-GPS Data [CVE-2016-5341]
https://wwws.nightwatchcybersecurity.com/2016/12/05/cve-2016-5341/

gag ★★★★★
()
Ответ на: комментарий от gag

и HTTP заменено на HTTPS

и вот тут я окончательно перестаю верить ничем не подкрепленным утверждениям о том, что это якобы делает baseband в обход ОС. К вопросам «через какое соединение» , «какой там TCP-стек» и «как он уживается с ОС, которая о нем якобы не знает» (даже Intel ME требует для этого ядерного модуля) теперь добавляются ещё «какая там реализация TLS», «где там лежат CA» и «кто их обновляет».

t184256 ★★★★★
()
Ответ на: комментарий от vaddd

Но если этим в самом деле занимаются чипы помимо софта, чипсет, имеющий приоритет над операционкой и свои соображения по доступу в сеть - это плохой признак. Нужна более профессиональная проверка происходящего.

Не совсем чипы, в смысле их аппаратная составляющая, т.к. в этих на первый взгляд железных чипах-модемах сидит всё тот же Линукс:

Ты не будешь владеть Х и будешь счастлив (но это неточно) (комментарий)

И такие умные чипы лучше подключать по самому простому интерфейсу, а не интегрировать в общую шину.

Интересно, ещё никто не объявлял конкурс на кол-во одновременно работающих ядер ОС в одном единственном смартфоне (и сколько из них Линукс).

gag ★★★★★
()
Ответ на: комментарий от gag

сидит всё тот же Линукс

Сильно легче от этого конечно не становится. Наружу скорее всего выведут какую-то часть, остальное будет где-то там обфусцировано как интел ме.

И такие умные чипы лучше подключать по самому простому интерфейсу, а не интегрировать в общую шину.

А как оставить чип в стороне? Скорее всего это почти неотъемлемая часть комплекта и свой выход к сети он получит. Да и когда изготовители железа (смартфонов, матплат и тд) смущались подобными вещами? Кроме фильтрации трафика где-то снаружи ничего не придумать.

Интересно, ещё никто не объявлял конкурс на кол-во одновременно работающих ядер ОС в одном единственном смартфоне (и сколько из них Линукс).

Хех. Чем дальше, тем больше любой функционально законченный пользовательский аппарат превращается в «черный ящик».

vaddd ★☆
()
17 февраля 2024 г.
Ответ на: комментарий от futurama

Не производителю смартфона, а в Qualcomm с использованием в том чисте технологии IZat через «izatcloud.net».

open-source
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)