Il produttore di smartphone NitroKey sostiene che i dispositivi dotati di chip Qualcomm trasmettano le informazioni degli utenti a loro insaputa.
NitroKey è un produttore di smartphone che si vanta di “offrire i telefoni più sicuri del pianeta”. Gli ingegneri dell’azienda adottano il sistema operativo GrapheneOS, considerato così sicuro da essere raccomandato dai principali esperti di sicurezza informatica. Nell’ambito di una ricerca, il produttore tedesco dichiara di aver scoperto una caratteristica specifica dei processori di Qualcomm.
Secondo i ricercatori di NitroKey, “gli smartphone dotati di processore Qualcomm inviano segretamente dati personali” ai server dell’azienda. Le informazioni verrebbero comunicate all’insaputa dell’utente o comunque senza il suo consenso. Inoltre, non sarebbe possibile impedire queste trasmissioni, in quanto verrebbero effettuate direttamente dal chip, il che permetterebbe di aggirare fisicamente le “potenziali impostazioni e i meccanismi di protezione di Android”.
Durante la sua ricerca l’azienda ha testato un Sony Xperia XA2 con /e/OS, “un sistema operativo open source basato su Android, privo di prodotti Google”. Questa speciale configurazione dovrebbe, in teoria, impedirne il tracciamento. In pratica, la prima connessione del dispositivo è ai server dell’azienda di Mountain View e i dati vengono inviati anche a Qualcomm, su un server registrato sotto “Izat Cloud“. Ricordiamo che i chip Qualcomm si trovano in centinaia di milioni di smartphone in tutto il mondo.
In più, le comunicazioni tra gli smartphone “spiati” e i server di Qualcomm non sarebbero sicure, secondo il produttore. Sul suo sito web, l’azienda spiega che i pacchetti vengono inviati tramite il protocollo HTTP e non sono criptati facendo si che i dati siano esposti ad hacker, agenzie governative etc e che chiunque sulla rete possa monitorare gli utenti raccogliendo questi dati.
I ricercatori dicono di essersi rivolti a Qualcomm per ottenere maggiori informazioni sulle trasmissioni sospette. I rappresentanti dell’azienda americana avrebbero risposto che “questa raccolta di dati è conforme alla politica sulla privacy di Qualcomm Xtra”. I dati raccolti sarebbero diversi, dall’identificatore unico, il nome e numero di serie del chipset, il codice paese del telefono cellulare e codice della rete mobile per identificare il paese e l’ISP, il tipo e versione del sistema operativo, solo per dirne alcuni.
I funzionari di NitroKey sottolineano la negligenza di Qualcomm nel garantire la trasmissione di queste informazioni sensibili. Anche se infatti la raccolta di dati avesse lo scopo di migliorare la qualità del servizio, questi non vengono inviati attraverso protocolli sicuri. Se così fosse vi sarebbe una potenziale grave violazione del GDPR applicato in Europa.