在良久以前,黑马一贯以为自己的手机随意马虎被病毒攻陷。那时,黑马手机中必装某安全卫士,每天不查杀一遍木马病毒之类就浑身不清闲。在黑马的这种严谨之下,黑马的手机从未遭受过病毒或者木马的侵袭。
这也让黑马一度以为,现在的互联网上越来越安全了。然而,黑马切切没想到,打脸来得如此之快。
近日,德国安全公司Nitrokey表示:在采取高通骁龙处理器的智好手机中,创造了未经用户赞许也能直接将个人数据发送给高通做事器的情形。
据理解,测试手机利用的是索尼Xperia XA2,搭载骁龙630处理器。
根据Nitrokey描述,可能还有Fairphone以及更多利用高通芯片的安卓手机也存在该漏洞。
哈?
看到这句话,黑马立时跑去看了看原文,顺便帮大家捋了捋Nitrokey的测试条件,是否能够真的测试出高通在处理器上留有后门秘密,以此网络用户信息的事情。
首先,Nitrokey选择给索尼Xperia XA2刷上没有谷歌搜索做事的Android开源版本——/e/OS,理论上来说,由于没有谷歌做事的参与,运行该系统的设备是无法被谷歌获取到信息并定位的,同时该系统也不会向Google传输信息。
在这之后,Nitrokey的研究职员在手机关闭GPS、没有SIM卡的情形下,通过Wireshark(一款专业的监控和剖析通过网络发送的所有流量的软件)对其进行流量监控。
在连接Wi-Fi之后,理论上不该有任何流量颠簸的索尼Xperia XA2,向两个网站产生了流量颠簸。
在这个中,第一个网站是属于谷歌,第二个网站也属于谷歌。搞笑吧,“去谷歌手机”在联网的第一韶光便是和谷歌联系。
经由Nitrokey的研究职员查询创造,/e/OS这个流传宣传“完全的、完备‘去谷歌化’的移动生态系统”,它的谷歌做事被microG取代,而microG大家可以大略理解为“基于Google开源的专有核心库/运用程序的免费克隆”。
由于Google开源代码容许,许可第三方进行修正,只管它“去谷歌做事”了,但是并没有完备去掉。
以是,这也使得“去谷歌手机”在联网后的第一韶光联系了该网站。
随后便重新定向到了取代了Android的Google做事器连接检讨的connectivitycheck.gstatic.com。
好嘛,在这里我们都还能理解,那接下来访问的这个网站就属实搞不懂了。
根据Nitrokey放出的实验过程显示,在两秒钟后,“去谷歌手机”再次访问了一个陌生网站。
这一次,它的狐狸尾巴,终于露出来了。
根据查询显示,izatcloud.net域名属于一家名为Qualcomm Technologies,Inc.的公司,也便是我们所熟知的高通。而目前,大约30%的Android设备均利用了高通处理器,也就说是说,环球30%的Android手机都有可能存在这个后门。
Nitrokey从抓包的数据上创造,这些包均是利用的HTTP协议,而非更加安全的HTTPS、SSL等协议加密,这也意味着任何人均可以网络这些数据。
鉴于索尼或/e/OS的做事条款中均未提及和高通有数据共享协议,以是Nitrokey合理疑惑高通在未经用户容许下偷偷获取用户信息。
难不成,高通公司通过处理器后门在偷偷监视我们吗?
对此,高通回应称:
此数据网络符合高通的Xtra隐私政策,根据XTRA做事隐私政策显示,高通可能会网络位置数据、唯一标识符(例如芯片组序列号或国际用户 ID)、有关设备上安装和/或运行的运用程序的数据、配置数据(例如品牌、型号和无线运营商)、操作系统和版本数据、软件构建数据以及有关设备性能的数据(例如芯片组的性能),电池利用情形和热数据。
同时还会从第三方来源获取个人数据,例如数据经纪人、社交网络、其他互助伙伴或公共来源。
就目前来看,除了我们的位置信息之外,高通彷佛并没有访问其他的敏感信息。基于此,黑马剖析,高通网络这些数据可能是为了优化自身产品、定制市场画像,同时剖析脱手机厂商的市场销量方便配货和溢价等。
只不过在不奉告用户的情形下偷偷网络这个信息属实有点吓人。
毕竟,当用户利用搭载骁龙处理器的设备接入网络之后,高通就能知道这个人在哪、用的什么网络,乃至还能通过安装了哪些APP剖析出这个人的事情种别、消费能力、兴趣爱好等等。
虽然不是直接获取你的照片、通讯录、谈天记录,但是基于网络的数据,同样可以剖析出很多的信息。
Nitrokey得出的结论是,高通定制的AMSS固件不仅优先于任何操作系统,而且由于利用非加密的HTTP协议,可以根据网络到的数据创建一个独特的设备署名,且这些信息都可以被第三方访问。
虽然Nitrokey结尾提到:在部分极度情形下,这些位置信息会被滥用,给智好手机利用者带来不幸。
但我们海内倒也无需有这样的担忧,毕竟,通过定位Android智好手机拍出无人机远程击杀主要人物这种场景,不太可能会涌如今中国。
某种程度上来说,在处理器上留下“后门”已经是见怪不怪的事了。起先,某国际大厂就在处理器上留下过后门。这也直接警觉了我们,在核心技能一定要实现自给自足,要把核心技能节制在自己手里。
如果是普通软件漏洞可以通过补丁更新来修复,但是这种硬件上面的“后门”,我们没有任何办法可以修复或者规避。除非你不用智好手机,但这放在现在来说也不太现实。
高通这次传输的数据没什么,但是谁又能担保它没有留下其他更深层次的后门呢?普通人或许无所谓,但是如果一些在敏感领域事情的人也在利用这种有后门的手机的话,那无疑会造成敏感信息的流失落。
普通人要想保护自己的隐私,越来越难了。
