In passato sono spuntati diversi casi di vulnerabilità hardware, quasi sempre riguardanti MediaTek o UNISOC ma che di tanto in tanto toccavano anche i prodotti basati su soluzioni Qualcomm. Ed è questo il caso della recente inchiesta stilata da NitroKey, azienda tedesca specializzata nel mondo della cyber-sicurezza, in cui si punta il dito contro i SoC Snapdragon e il fatto che permetterebbero al chipmaker statunitense di spiare gli utenti; un’accusa piuttosto pesante, perciò cerchiamo di capirne meglio.
Qualcomm spierebbe il comportamento dei possessori di smartphone Android
Secondo le ricerche condotte da NitroKey, il problema sarebbero i Google Play Services, componente software closed-source che permette la scansione costante della posizione nell’ambiente circostante mediante la triangolazione di Wi-Fi, Bluetooth e GPS, anche quando l’utente non è collegato alle reti Wi-Fi nei dintorni e ha disattivato il GPS; per questi ricercatori, questo metodo “simile a quello che la CIA usò per rintracciare Pablo Escobar” viene usato su scala globale per sorvegliare chiunque, un’affermazione piuttosto azzardata. L’unico modo per evitare che ciò accada sarebbe utilizzare uno smartphone “de-Google”, privo di servizi Google e Play Store: e indovinate chi ne vende? Proprio NitroKey, che rivende dei Pixel con installata la custom ROM GrapheneOS.
La dubbia analisi prosegue testando uno smartphone Snapdragon (il Sony Xperia XA2): al primo avvio, lo smartphone si connette a server Qualcomm in maniera non crittografata (HTTP anziché HTTPS), inviando dati relativi a hardware e software del telefono. Fra questi c’è anche la posizione GPS per il servizio Qualcomm XTRA, usato per fornire il supporto A-GPS, cioè il GPS assistito, che rende più rapido e meno energivoro l’aggancio GPS scaricando tramite rete dati le informazioni sulle traiettorie dei satelliti.
Provando a visitare quello che viene indicato come “sito misterioso“, ci si accorge che è sì privo di crittografia ma che contiene le informazioni riguardanti i dati raccolti da Qualcomm: posizione GPS, giroscopio e accelerometro e reti Wi-Fi nelle vicinanze, tutti dati necessari per effettuare calibrazione e aggancio dei satelliti. Vengono raccolti (e rimossi dopo 30 giorni) anche indirizzo IP e ID software univoco, usati per aggregarli ai dati di posizione e creare un database anonimo con le posizioni di torri cellulari e punti di accesso Wi-Fi. Fra i dati raccolti (anche per scopi di marketing) ci sono anche nomi delle app installate, modello del telefono, versione del sistema operativo, codice telefonico del paese e numero di serie del chipset. Come afferma Qualcomm, tramite nessuno di questi dati è possibile risalire e identificare l’utente.
NitroKey conclude affermando che a Qualcomm non interessino privacy e sicurezza dei suoi utenti, e che i loro dati possano essere facilmente intercettati da governi autoritari e dittature. Di nuovo, accuse abbastanza importanti, specialmente se si pensa che il primo NitroPhone era basato su Snapdragon 730G e che anche sui recenti NitroPhone 3 (rebrand di Pixel 7 con SoC Google Tensor di Samsung) non viene specificato se e come avvenga il posizionamento A-GPS. Non ha tardato ad arrivare la risposta di Qualcomm: