Qualcommチップ、無断でユーザー情報を収集、暗号化もせずに送信していた

 
QualcommのSnapdragonチップが無断でユーザーの個人情報を収集、Qualcommのサーバに送信していることが、ドイツのセキュリティ企業の調査で明らかになりました。
 
Qualcommのチップは多くのAndroidスマートフォン、そしてiPhoneにも搭載されています。

データ送信先の見知らぬサーバの正体とは

セキュリティ企業Nitrokeyは最初、「Googleに個人データを送信しないようにするにはどうすればいいか」という実験を行う予定でした。そのためAndroidのオープンソース版をソニーのXperia XA2にインストール、Google製アプリを完全に排除しました。
 
ところがXperia XA2はインターネットに接続するとその数秒後、「izatcloud.net」という、Nitrokeyが知らない企業のサーバーにつながったそうです。WHOISで検索したところ、izatcloud.netドメインの所有者はQualcomm Technologiesでした。Xperia XA2はSnapdragon 630を搭載しています。

暗号化されずに送信される膨大なユーザー情報

Nitrokeyがさらに調査したところ、QualcommチップはユニークID、チップセットの名称とシリアル番号、XTRAソフトウェアのバージョン、モバイルカントリーコード（MCC）、モバイルネットワークコード（運用地域と事業者名を示す）、OSとそのバージョン、デバイスの製造業者と機種名、アプリケーションプロセッサおよびモデムを最後に起動してからの時間、デバイスが搭載するソフトウェアのリスト、IPアドレスを含むデータを収集、送信していました。
 
しかもこれらのデータは暗号化されることなく、セキュアでないHTTPプロコトルで送信されているため、実質誰でも読み取ることが可能だそうです。

Qualcommはユーザーのプライバシーやセキュリティに無関心

Qualcommはこの報告に対し、データ収集はXTRAサービスのプライバシーポリシーに則ったものだと説明していますが、Nitrokeyは「Qualcommが膨大な量のセンシティブな情報を収集し、セキュアではない、古いHTTPプロトコルを使って送信しているという事実は、同社がユーザーのプライバシーやセキュリティに注意を払っていないという証拠だろう」と厳しく指摘しています。

 
 
Source:Nitrokey via Gizmochina
(lunatic)