說一個事:你覺得你的手機有後門嗎?
在很久以前,黑馬一直覺得自己的手機容易被病毒攻陷。那時,黑馬手機中必裝某安全衛士,每天不查殺一遍木馬病毒之類就渾身不自在。在黑馬的這種嚴謹之下,黑馬的手機從未遭受過病毒或者木馬的侵襲。
這也讓黑馬一度以爲,現在的互聯網上越來越安全了。然而,黑馬萬萬沒想到,打臉來得如此之快。
近日,德國安全公司 Nitrokey 表示:在采用高通骁龍處理器的智能手機中,發現了未經用戶同意也能直接将個人數據發送給高通服務器的情況。
據了解,測試手機使用的是索尼 Xperia XA2,搭載骁龍 630 處理器。
根據 Nitrokey 描述,可能還有 Fairphone 以及更多使用高通芯片的安卓手機也存在該漏洞。
哈?
看到這句話,黑馬馬上跑去看了看原文,順便幫大家捋了捋 Nitrokey 的測試條件,是否能夠真的測試出高通在處理器上留有後門秘密,以此收集用戶信息的事情。
首先,Nitrokey 選擇給索尼 Xperia XA2 刷上沒有谷歌搜索服務的 Android 開源版本—— /e/OS,理論上來說,因爲沒有谷歌服務的參與,運行該系統的設備是無法被谷歌獲取到信息并定位的,同時該系統也不會向 Google 傳輸信息。
在這之後,Nitrokey 的研究人員在手機關閉 GPS、沒有 SIM 卡的情況下,通過 Wireshark(一款專業的監控和分析通過網絡發送的所有流量的軟件)對其進行流量監控。
在連接 Wi-Fi 之後,理論上不該有任何流量波動的索尼 Xperia XA2,向兩個網站産生了流量波動。
在這其中,第一個網站是屬于谷歌,第二個網站也屬于谷歌。搞笑吧," 去谷歌手機 " 在聯網的第一時間就是和谷歌聯系。
經過 Nitrokey 的研究人員查詢發現,/e/OS 這個宣稱 " 完整的、完全‘去谷歌化’的移動生态系統 ",它的谷歌服務被 microG 取代,而 microG 大家可以簡單理解爲 " 基于 Google 開源的專有核心庫 / 應用程序的免費克隆 "。
因爲 Google 開源代碼許可,允許第三方進行修改,盡管它 " 去谷歌服務 " 了,但是并沒有完全去掉。
所以,這也使得 " 去谷歌手機 " 在聯網後的第一時間聯系了該網站。
随後便重新定向到了取代了 Android 的 Google 服務器連接檢查的 connectivitycheck.gstatic.com。
好嘛,在這裏我們都還能理解,那接下來訪問的這個網站就屬實搞不懂了。
根據 Nitrokey 放出的實驗過程顯示,在兩秒鍾後," 去谷歌手機 " 再次訪問了一個陌生網站。
這一次,它的狐狸尾巴,終于露出來了。
根據查詢顯示,izatcloud.net 域名屬于一家名爲 Qualcomm Technologies,Inc. 的公司,也就是我們所熟知的高通。而目前,大約 30% 的 Android 設備均使用了高通處理器,也就說是說,全球 30% 的 Android 手機都有可能存在這個後門。
Nitrokey 從抓包的數據上發現,這些包均是使用的 HTTP 協議,而非更加安全的 HTTPS、SSL 等協議加密,這也意味着任何人均可以收集這些數據。
鑒于索尼或 /e/OS 的服務條款中均未提及和高通有數據共享協議,所以 Nitrokey 合理懷疑高通在未經用戶許可下偷偷獲取用戶信息。
難不成,高通公司通過處理器後門在偷偷監視我們嗎?
對此,高通回應稱:
此數據收集符合高通的 Xtra 隐私政策,根據 XTRA 服務隐私政策顯示,高通可能會收集位置數據、唯一标識符(例如芯片組序列号或國際用戶 ID)、有關設備上安裝和 / 或運行的應用程序的數據、配置數據(例如品牌、型号和無線運營商)、操作系統和版本數據、軟件構建數據以及有關設備性能的數據(例如芯片組的性能),電池使用情況和熱數據。
同時還會從第三方來源獲取個人數據,例如數據經紀人、社交網絡、其他合作夥伴或公共來源。
就目前來看,除了我們的位置信息之外,高通似乎并沒有訪問其他的敏感信息。基于此,黑馬分析,高通收集這些數據可能是爲了優化自身産品、定制市場畫像,同時分析出手機廠商的市場銷量方便配貨和溢價等。
隻不過在不告知用戶的情況下偷偷收集這個信息屬實有點吓人。
畢竟,當用戶使用搭載骁龍處理器的設備接入網絡之後,高通就能知道這個人在哪、用的什麽網絡,甚至還能通過安裝了哪些 APP 分析出這個人的工作類别、消費能力、興趣愛好等等。
雖然不是直接獲取你的照片、通訊錄、聊天記錄,但是基于收集的數據,同樣可以分析出很多的信息。
Nitrokey 得出的結論是,高通定制的 AMSS 固件不僅優先于任何操作系統,而且由于使用非加密的 HTTP 協議,可以根據收集到的數據創建一個獨特的設備簽名,且這些信息都可以被第三方訪問。
雖然 Nitrokey 結尾提到:在部分極端情況下,這些位置信息會被濫用,給智能手機使用者帶來不幸。
但我們國内倒也無需有這樣的擔憂,畢竟,通過定位 Android 智能手機拍出無人機遠程擊殺重要人物這種場景,不太可能會出現在中國。
某種程度上來說,在處理器上留下 " 後門 " 已經是見怪不怪的事了。早先,某國際大廠就在處理器上留下過後門。這也直接警醒了我們,在核心技術一定要實現自給自足,要把核心技術掌握在自己手裏。
如果是普通軟件漏洞可以通過補丁更新來修複,但是這種硬件上面的 " 後門 ",我們沒有任何辦法可以修複或者規避。除非你不用智能手機,但這放在現在來說也不太現實。
高通這次傳輸的數據沒什麽,但是誰又能保證它沒有留下其他更深層次的後門呢?普通人或許無所謂,但是如果一些在敏感領域工作的人也在使用這種有後門的手機的話,那無疑會造成敏感信息的流失。
普通人要想保護自己的隐私,越來越難了。
如果喜歡我們的内容
真誠推薦你星标走一波,還能領紅包