Un nuovo report della società di sicurezza tedesca Nitrokey ha svelato l’impensabile. I processori per smartphone di casa Qualcomm, stando al report, raccoglierebbero e trasmetterebbero online dati presi dagli utenti direttamente nei server del chipmaker. La funzionalità presente sui processori Snapdragon sarebbe indipendente dal sistema operativo Android.
Ciò starebbe a significare che i dati raccolti dai processori Qualcomm verrebbero trasmessi senza coinvolgere il sistema operativo. Difatti Nitrokey ha affermato di aver installato una versione di Android senza servizi Google sullo smartphone Sony Xperia XA2 con il processore Snapdragon 630 ed avrebbe riscontrato che i dati sono stati trasmessi al server izatcloud.net.
Si tratta di un server di proprietà di Qualcomm: il test dimostrerebbe che i processori del chipmaker americano collezionano e trasmettono informazioni degli utenti, ma quali? Tra queste info ci sarebbero l’identificatore dello smartphone, il nome del processore, il numero seriale del processore, la versione software XTRA, il codice del Paese del dispositivo, il codice della rete mobile, l’eventuale versione brandizzata di Android, il modello e la marca del dispositivo, la lista delle app, l’indirizzo IP e altro.
I dati sarebbero trasmessi tramite protocollo HTTP senza crittografia, quindi chiunque può leggere l’identificatore dei dati trasmessi a Izat Cloud potrebbe accedere ai dati. La funzionalità interesserebbe circa il 30% degli smartphone venduti nel mondo, sia Android che iPhone con moduli di connettività Qualcomm. Secondo Nitrokey il firmware personalizzato AMSS dei processori prenderebbe la priorità sui sistemi operativi e causerebbe una firma unica per il dispositivo accessibile da terze parti.
La risposta di Qualcomm
Il chipmaker afferma che la trasmissione dei dati è in regola con la privacy policy del servizio XTRA che consente all’azienda di raccogliere questi dati. Tuttavia il report ha sollevato preoccupazioni su privacy e sicurezza dei dati degli utenti. Nitrokey evidenzia la necessità di una maggiore trasparenza dalle compagnie tech riguardo i dati raccolti e come vengono usati. Gli utenti dovrebbero essere a conoscenza di come le informazioni vengono usate e avere la possibilità di controllarle.
Aggiornamento 02/05/2023: di seguito la dichiarazione ufficiale di un portavoce di Qualcomm in merito al report.
L’articolo è pieno di imprecisioni e sembra essere motivato dal desiderio dell’autore di vendere il proprio prodotto. Qualcomm raccoglie informazioni personali solo se consentito dalle leggi vigenti. Come indicato nell’informativa sulla privacy disponibile al pubblico (https://www.qualcomm.com/site/privacy/services), le tecnologie Qualcomm in questione utilizzano informazioni non personali e anonime. Le tecnologie Qualcomm utilizzano dati tecnici non personali e anonimizzati per consentire ai produttori di dispositivi di fornire ai propri clienti applicazioni e servizi basati sulla localizzazione che gli utenti finali si aspettano dagli smartphone di oggi.