Qualcomm recibe datos personales de los smartphones que llevan sus chips en secreto
Una investigación de seguridad ha descubierto que los smartphones con chip Qualcomm envían en secreto datos personales a Qualcomm.
Estos datos se envían sin el consentimiento del usuario, sin cifrar, e incluso cuando se utiliza una distribución de Android libre de Google. Esto es posible porque el propio chipset de Qualcomm envía los datos, eludiendo cualquier posible ajuste del sistema operativo Android y los mecanismos de protección.
Conexiones extrañas a izatcloud.net
Los investigadores decidieron probar /e/OS, una versión de código abierto de Android sin servicios de Google, centrada en la privacidad y diseñada para darte el control sobre tus datos. /e/OS afirma que no te rastrea y que no vende tus datos..
Instalaron /e/OS en un smartphone Sony Xperia XA2. Después de proporcionar la contraseña WiFi en el asistente de configuración, el router asignó al teléfono /e/OS sin Google una dirección IP local y empezó a generar tráfico.
Unos segundos después, el teléfono empezó a comunicarse con izatcloud.net, un dominio desconocido. Una rápida búsqueda en WHOIS muestra que el dominio izatcloud.net pertenece a una empresa llamada Qualcomm Technologies, Inc.
Los chips de Qualcomm se utilizan actualmente en aproximadamente el 30% de todos los dispositivos Android. El dispositivo de prueba con la versión /e/OS de Android es un Sony Xperia XA2 con un procesador Qualcomm Snapdragon 630.
Los paquetes se envían a través del protocolo HTTP y no están cifrados mediante HTTPS, SSL o TLS. Esto significa que cualquier otra persona en la red, incluidos ciberdelincuentes, agencias gubernamentales, administradores de redes, operadores de telecomunicaciones, locales y extranjeros, puede recopilar estos datos, almacenarlos y establecer un historial de registros utilizando el identificador único del teléfono y el número de serie que Qualcomm está enviando a su misteriosamente llamada Izat Cloud.
La respuesta de Qualcomm
Los investigadores consideraron que esto va en contra del Reglamento General de Protección de Datos (GDPR) por recopilar datos de los usuarios sin su consentimiento y se pusieron en contacto con el Asesor Jurídico de Qualcomm sobre el asunto.
Unos días más tarde, Qualcomm contestó informando que esta recopilación de datos era conforme a la política de privacidad de Qualcomm Xtra y compartieron un enlace a su política de privacidad del servicio XTRA.
Así que parece ser que ese Izat Cloud del que nunca habíamos oído hablar forma parte del Servicio XTRA del que tampoco hemos oído hablar. Da la impresión de que a Qualcomm le gusta mantener el misterio, de ahí el nombre de Izat Cloud y el Servicio XTRA.
La política de privacidad del «Servicio XTRA» dice lo siguiente:
A través de estas aplicaciones de software, podemos recopilar datos de localización, identificadores únicos (como el número de serie del chipset o el ID de abonado internacional), datos sobre las aplicaciones instaladas y/o en ejecución en el dispositivo, datos de configuración como la marca, el modelo y el operador inalámbrico, datos del sistema operativo y la versión, datos de compilación del software y datos sobre el rendimiento del dispositivo como el rendimiento del chipset, el uso de la batería y datos térmicos.
También podemos obtener datos personales de fuentes de terceros, como intermediarios de datos, redes sociales, otros socios o fuentes públicas.
Después de la investigación, Qualcomm actualizó la política de privacidad y añadieron que también recogen la dirección IP del dispositivo. También han añadido la información de que almacenan estos datos durante 90 días por «motivos de calidad».
A modo de resumen, aquí tienes una lista de los datos que Qualcomm puede recopilar de tu teléfono según su política de privacidad:
- ID único
- Nombre del chipset
- Número de serie del chipset
- Versión del software XTRA
- Código de país del móvil
- Código de red móvil (permite identificar el país y el operador inalámbrico)
- Tipo de sistema operativo y versión
- Marca y modelo del dispositivo
- Tiempo transcurrido desde el último arranque del procesador de aplicaciones y del módem
- Lista del software del dispositivo
- Dirección IP
Por cierto, el «Servicio XTRA» de Qualcomm proporciona GPS asistido (A-GPS) y ayuda a proporcionar posiciones precisas por satélite a un dispositivo móvil.
La conexión silenciosa
El servicio XTRA de Qualcomm no forma parte de /e/OS ni de Android, sino que se ejecuta directamente desde el firmware de Qualcomm, al que denominan AMSS.
Lo que ocurre es que además del sistema operativo de cara al usuario (Android, iOS) y el kernel Linux, el smartphone incorpora un firmware o blobware adicional de bajo nivel. Este sistema operativo encubierto opera en el procesador de banda ancha (módem) y gestiona la comunicación en tiempo real con las torres de telefonía móvil.
Durante el funcionamiento, el sistema operativo encubierto (AMSS) tiene un control total sobre el hardware, el micrófono y la cámara. El kernel Linux y el sistema operativo de usuario final /e/OS funcionan como esclavos sobre el sistema operativo oculto AMSS.
Las consecuencias son que incluso con un dispositivo sin Google seguimos sin tener un control total sobre nuestra privacidad y sobre qué información personal identificable (PII) se está compartiendo debido a este blobware de código cerrado subyacente que está compartiendo nuestros datos privados.