IT之家 5 月 8 日消息,Nitrokey 网络安全公司发布研究报告称,搭载高通芯片的索尼 Xperia XA2(运行 /e/ OS)会通过不受保护的 HTTP 协议与 Izat Cloud 通信,高通可以在不需要安卓系统参与的情况下收集部分用户数据。
报告中指出,高通将包括 IP 地址在内的私人用户数据上传到属于该公司的服务器端,并且“未经用户同意,且未加密,甚至“在使用无谷歌的 Android 发行版时也是如此”。对此高通发言人反驳了其报告中的所有指控。
“这篇文章充满了不准确之处,作者似乎是出于对其产品进行营销的出发点写下这份报告。高通仅在适用法律允许的情况下收集个人信息。正如我们公开的隐私政策所披露的那样,相关的高通技术使用非个人的、匿名的技术数据,使设备制造商能够为其客户提供最终用户期望从当今智能手机获得的基于位置的应用程序和服务。”
图源 PixabayNitrokey 研究员 Paul Privacy 声称,除了对未经允许的担忧之外,数据包是通过 HTTP 协议发送的,没有使用 HTTPS、SSL 或 TLS 加密,这使它们容易受到攻击。
对此,高通发言人解释说,目前所有高通芯片都依赖 HTTPS 进行通信交换,并且高通从 2016 年开始就已经不再使用 HTTP。这意味着如果您使用的是相当新的设备,航空移动卫星通信(AMSS 通信)至少可以免受中间人攻击。
一位熟悉高通技术的前移动行业高管告诉 The Register,“将 AMSS 描述为一个秘密操作系统完全是胡说八道”,但普通民众却很难真正理解手机中基础层级发生的事情。他指出,所有芯片组制造商,包括华为、三星、高通和苹果“这些公司中的任何一家都会 [通过网络] 进行各种不同的获取。”
除此之外,Alpine-Linux 的 postmarketOS 核心开发人员 Martijn Braam 也发表了一篇文章,驳斥这项研究是空洞的营销。他指出,高通发起的 HTTP 通信不包含任何私人数据。“它只是从高通公司下载 GPS 历书用于 A-GPS [辅助 GPS]”。
IT之家注:高通定位服务(Qualcomm Location Service,以前称为 IZat Location Services 或 IZat)是一项可选服务。它的工作原理是定期将有关附近手机信号塔和 Wi-Fi 接入点位置的数据下载到手机中,并通过陀螺仪、加速度计等传感器来帮助进行位置计算并减少耗电。
“高通定位服务定期向我们发送一个唯一的软件 ID,你的设备的位置 (经度、纬度、海拔及其不确定性),附近的蜂窝基站和 Wi-Fi 热点,信号强度和时间 (统称为‘位置数据’),”高通网站写道,“与任何互联网通信一样,我们也会收到您设备使用的 IP 地址。”
这也是很多用户吐槽自己被 App 跨平台收集用户信息的一种原因。如果不想被大数据追踪到数字足迹,恐怕只能不去使用手机。而对于部分用户来说,他们对于轻隐私场景并不是那么在意,所以也会有部分用户选择用隐私换取便利,至于结果如何,自然也是仁者见仁智者见智。
本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/691/217.htm]