Les processeurs Qualcomm collecteraient des informations sur les utilisateurs

La société de sécurité allemande Nitrokey a récemment publié un rapport affirmant avoir trouvé une fonctionnalité inhabituelle dans une puce Qualcomm Snapdragon. Cela signifie que le processeur mobile collecte et envoie les informations utilisateur directement aux serveurs de Qualcomm.

Cette fonctionnalité est indépendante du système d’exploitation Android, ce qui signifie que les données sont transmises même si le système d’exploitation n’est pas impliqué. Nitrokey a installé Android sur un téléphone Sony Xperia XA2 équipé d’une puce Qualcomm Snapdragon 630 et a constaté que des données étaient envoyées au serveur izatcloud.net, propriété de Qualcomm.

Signalé de Gizmochine (30/4), la puce Qualcomm collecte et transmet des informations sur l’utilisateur, y compris l’identifiant mobile unique, le nom de la puce, le numéro de série de la puce, la version du logiciel XTRA, le code de réseau du pays, le type et la version de l’opérateur ou du système d’exploitation, l’appareil, le fabricant et le modèle, une liste des programmes sur l’appareil, les adresses IP et d’autres données. Les données sont transmises via le protocole HTTP non sécurisé sans cryptage supplémentaire, ce qui les rend accessibles à presque tous ceux qui peuvent lire les données d’identification uniques envoyées à Izat Cloud.

Cette fonctionnalité concerne environ 30 % des téléphones mobiles dans le monde, y compris les téléphones Android et les iPhone utilisant des modules de communication Qualcomm. La conclusion de Nitrokey dans le billet de blog est que le micrologiciel Qualcomm AMSS personnalisé a la priorité sur tout système d’exploitation et, comme il utilise le protocole HTTP, une signature de périphérique unique peut être générée sur la base des données collectées, auxquelles des tiers peuvent accéder.

Qualcomm a répondu au rapport en déclarant que la transmission de données était conforme à la politique de confidentialité du service XTRA, qui permet en fait à l’entreprise de collecter ces données utilisateur. Cependant, le fait que les données soient transmises via le protocole HTTP non sécurisé a soulevé des inquiétudes quant à la confidentialité et à la sécurité des informations des utilisateurs.