Gli esperti di Nitrokey hanno segnalato una criticità del chip Qualcomm, ma l'azienda si difende

"Ecco come vengono controllati i cellulari"

"Durante la nostra ricerca sulla sicurezza - scrivono gli esperti - abbiamo scoperto che gli smartphone con chip Qualcomm inviano segretamente dati personali". Sulla notizia si innesta un'ulteriore notizia in quanto il chip è utilizzato anche nei Fairphone, cellulari per un uso "etico".
27 aprile 2023
Redazione PeaceLink

"Durante la nostra ricerca sulla sicurezza abbiamo scoperto che gli smartphone con chip Qualcomm inviano segretamente dati personali a Qualcomm".

Lo si legge sul sito Nitrokey. La notizia è di due giorni fa. Ne è nato un dibattito sul web.

Quali cellulari vengono "sorvegliati"?

"Gli smartphone interessati - si legge sul sito Nitrokey - sono Sony Xperia XA2 e probabilmente il Fairphone e molti altri telefoni Android che utilizzano chip Qualcomm popolari" Cellulare

L'alternativa alla sorveglianza quale può essere?

"Come alternativa privata - si legge sul sito - alcune persone esperte di tecnologia installano una versione di Android priva di Google sul loro normale smartphone. Ad esempio, abbiamo analizzato questa configurazione con un Sony Xperia XA2 e abbiamo scoperto che potrebbe non proteggere sufficientemente perché l’hardware con firmware al di sotto del sistema operativo invia informazioni private al produttore di chip Qualcomm. Questa scoperta si applica anche ad altri smartphone con un chip Qualcomm come il Fairphone".

Nitrokey è un'azienda leader a livello mondiale nell'hardware di sicurezza open source. Nitrokey sviluppa hardware di sicurezza IT per la crittografia dei dati, la gestione delle chiavi e l'autenticazione degli utenti. L'azienda è stata fondata a Berlino, in Germania, nel 2015 e può già contare su decine di migliaia di utenti tra cui numerose note imprese internazionali di vari settori.

"Messa con le spalle al muro, Qualcomm si difende", riporta il sito gearrice.com e per la precisione si legge:

"I ricercatori si sono ovviamente rivolti a Qualcomm per ulteriori informazioni su queste trasmissioni sospette. I rappresentanti dell'azienda americana hanno poi confermato loro che "questa raccolta di dati è conforme alla Privacy Policy di Qualcomm Xtra". Nessuno in NitroKey, che è un produttore di smartphone, ha mai sentito parlare di una clausola del genere".

Qualcomm si difende parlando di un "articolo pieno di imprecisioni" e di utilizzare "dati non personali" ribattendo così all'accusa di "raccogliere i dati degli utenti senza il loro consenso" in contrasto con il "Regolamento generale sulla protezione dei dati (GDPR)" (vedi note a piè di pagina). 

Non è la prima volta che Qualcomm è nell'occhio del ciclone delle critiche. L'8 agosto del 2020 su Tuttoinformatico.com si leggeva:

"I ricercatori Check Point hanno scoperto oltre 400 vulnerabilità nel chipset Qualcomm attraverso cui i malintenzionati possono controllare gli smartphone Android e dunque essere spiati, controllati, resi inaccessibi e essere usati per nascondere attività malevoli. Il chip è integrato in oltre il 40% degli smartphone del mondo, compresi i telefoni di fascia alta di Google, LG, Samsung, Xiaomi, OnePlus e altri. iPhone non è interessato dalle vulnerabilità descritte in questa ricerca".

Note: Per seguire l'evoluzione del dibattito sulla notizia si rinvia a questo forum

Qualcomm chip sends data?
https://forum.sailfishos.org/t/qualcomm-chip-sends-data/15496/7


Milioni di smartphone spiati da Qualcomm? L’azienda dice la sua (Tomshw.it)

I ricercatori hanno effettuato un test su un Sony Xperia XA2 e avrebbero scoperto, sempre secondo quanto riportato, che esso ha inviato dati a Qualcomm ogni 10 minuti. Essi sospettano che anche altri smartphone con chip Qualcomm possano essere colpiti da questa presunta intrusione. L’accusa di Nitrokey è davvero pesante:

“Riteniamo che raccogliere i dati degli utenti senza il loro consenso sia contrario al Regolamento generale sulla protezione dei dati (GDPR) e abbiamo contattato l’ufficio legale di Qualcomm” scrivono sul proprio blog.

Al contrario l’azienda capitanata da Cristiano Amon ha negato ci sia stata alcuna violazione.

“L’articolo è pieno di imprecisioni e sembra essere motivato dal desiderio dell’autore di vendere il proprio prodotto. Qualcomm raccoglie informazioni personali solo se consentito dalle leggi vigenti. Come indicato nella nostra politica sulla privacy disponibile al pubblico, le tecnologie Qualcomm in questione utilizzano dati non personali.
Le tecnologie Qualcomm utilizzano dati tecnici non personali e anonimizzati per consentire ai produttori di dispositivi di fornire ai propri clienti applicazioni e servizi basati sulla localizzazione che gli utenti finali si aspettano dagli smartphone di oggi“, così ha commentato un portavoce di Qualcomm alla nostra richiesta di spiegazioni.

Martijn Braam, uno sviluppatore di postmarketOS basato su Alpine-Linux, ha pubblicato un documento in cui ribadisce come la ricerca Nitrokey sia solo dell’inutile marketing. Ha notato che la comunicazione HTTP avviata da Qualcomm non contiene dati privati. “Sta solo scaricando un almanacco GPS da Qualcomm per A-GPS [assisted GPS]“, ha osservato.

Altre info su https://www.tomshw.it/smartphone/milioni-di-smartphone-spiati-da-qualcomm-lazienda-dice-la-sua/

Articoli correlati

  • Combattere le minacce europee alla crittografia
    Diritto in rete
    Una panoramica dell'anno 2023

    Combattere le minacce europee alla crittografia

    L'EFF ha trascorso quest'anno a combattere duramente contro una proposta dell'UE che, se fosse diventata legge, sarebbe stata un disastro per la privacy online nell'UE e in tutto il mondo. La proposta avrebbe fatto pressione sui servizi online per abbandonare la crittografia end-to-end.
    30 dicembre 2023 - Electronic Frontier Foundation
  • “Cyber mercenari” hanno spiato migliaia di utenti Facebook
    MediaWatch
    Utilizzati profili falsi per indurre le persone a rivelare dati privati

    “Cyber mercenari” hanno spiato migliaia di utenti Facebook

    Campagne di spionaggio in più di 100 nazioni per conto di agenzie governative o clienti privati hanno coinvolto anche amici e familiari degli obiettivi. Sono stati sospesi circa 1.500 account, per lo più falsi, gestiti da sette organizzazioni su Facebook, Instagram e WhatsApp.
    17 dicembre 2021 - AGI (Agenzia Giornalistica Italia)
  • La CIA ci spia (e non vuole più andare via)
    CyberCultura
    I servizi segreti americani possono ascoltare le persone tramite i microfoni delle smart TV

    La CIA ci spia (e non vuole più andare via)

    Joshua Adam Schulte è in carcere per aver passato a Wikileaks oltre 8 mila pagine di documenti top-secret che rivelano come la CIA possieda la capacità di violare la segretezza della corrispondenza non solo su WhatsApp e Telegram ma anche su Signal. Il caso Vault 7 è gravissimo.
    5 settembre 2021 - Redazione PeaceLink
  • Massachusetts: primo Stato a vietare alla polizia l'uso del riconoscimento facciale
    CyberCultura
    USA: il Massachusetts è pronto a bandire il riconoscimento facciale dall'ambito pubblico

    Massachusetts: primo Stato a vietare alla polizia l'uso del riconoscimento facciale

    Forze dell'ordine incluse. Una riforma che vieterà anche l'uso di proiettili di gomma e strette al collo
    15 dicembre 2020 - Rachel Sandler
PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.7.21 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)