Einige Smartphones, die einen Chip von Qualcomm beinhalten, plaudern munter unverschlüsselte Daten an ihren US-amerikanischen Hersteller.
Die Sicherheitsforscher der Firma Nitrokey aus Teltow haben kürzlich festgestellt, dass Smartphones mit dem Qualcomm-Chip SDM630 heimlich persönliche Daten an die Server des US-amerikanischen Herstellers übertragen. Entgegen der Vorgaben der DSGVO sendet der Chip die Informationen ohne Zustimmung oder Wissen des Nutzers über die Grenzen der EU hinweg.
Der Prozessor von Qualcomm verschickt die Daten ungeschützt
Update: Laut der Antwort von Qualcomm auf eine Presseanfrage von ComputerBase soll der Beitrag von Nitrokey ungenau sein. Qualcomm geht davon aus, dass der Hersteller des Privacy-Phones primär ihr eigenes Produkt damit anpreisen wollte. Das Unternehmen sammle nur personenbezogene Daten, sofern dies gesetzlich zulässig sei. Auch solle die Übertragung der Daten komplett verschlüsselt laufen, heißt es dort.
Besonders brisant ist, dass die Daten unverschlüsselt übertragen werden. Somit kann jeder, der Interesse an den Daten hat, diese abfangen und später auswerten. Chips von Qualcomm kommen derzeit in rund 30 Prozent aller Smartphones zum Einsatz. Neben Apple und Samsung auch im Sony Xperia XA2* und wahrscheinlich auch im Fairphone* und vielen anderen Android-Smartphones. Da hilft es auch nicht, ein alternatives Betriebssystem wie LineageOS zu verwenden, welches das Tracking von Google unmöglich machen soll.
Laut Nitrokey ist der Prozessor Qualcomm Snapdragon 630 (SDM630) betroffen. Der Test wurde mit der Netzwerkanalyse-Software Wireshark durchgeführt, die den unkontrollierten Datenabfluss feststellte. Auf einem Sony Xperia XA2 hatten die Sicherheitsforscher das Google-freie Betriebssystem e/OS installiert. Doch das mobile Betriebssystem kann den Datentransfer nicht verhindern, da der Chip die Daten außerhalb des Betriebssystems an die Qualcomm-Server sendet.
Sammelleidenschaft lediglich zu „Qualitätszwecken“!?
Die Weitergabe der Daten an Qualcomm wird weder in den Nutzungsbedingungen von Sony noch in denen des mobilen Betriebssystems erwähnt. Auf Anfrage von Nitrokey teilte die Rechtsabteilung von Qualcomm mit, dass die Datenerfassung angeblich im Einklang mit der Datenschutzrichtlinie von Izat Cloud des Dienstes Qualcomm XTRA steht, was die Nutzung legitimieren soll. Nach eigenen Angaben speichert man die Informationen nur für 90 Tage zu „Qualitätszwecken„. In der Datenschutzrichtlinie des XTRA-Dienstes ist von der IP-Adresse keine Rede, diese wird aber vom Chip ebenfalls transferiert.
Fazit
Auch wenn NitroKey die Ergebnisse der Studie nutzt, um letztlich für das eigene Smartphone zu werben, sind sie dennoch sehr interessant. Aufschlussreich ist auch die Schlussfolgerung des deutschen Unternehmens, die den Datenskandal aufgedeckt hat:
„Die Tatsache, dass Qualcomm eine große Menge sensibler Daten sammelt und sie über das unsichere und veraltete HTTP-Protokoll überträgt, zeigt uns, dass dem Unternehmen die Privatsphäre und die Sicherheit der Nutzer egal sind. Man muss nicht über eine Zusammenarbeit von Qualcomm mit verschiedenen staatlichen Spionageagenturen spekulieren, sondern es schafft auch ein Risiko, wenn der Datenverkehr möglicherweise auch von Diktatoren und anderen unterdrückerischen Regierungen abgefangen wird, die nicht einmal eine Zusammenarbeit mit Qualcomm benötigen.“
„Nicht nur Drohnen nutzen häufig Standortinformationen, um Menschen ins Visier zu nehmen. Es gibt Fälle, in denen die Entführung und/oder Ermordung von Menschen durch die Nutzung der Standortdaten der Opfer erleichtert wurde. Ein aktuelles Beispiel ist der Iran, wo Demonstranten aufgrund der Ortung ihres Smartphones verhaftet wurden. Dazu muss das Telefon nicht einmal angezapft werden. Der Klartextverkehr ist auch ein Tummelplatz für Datenbroker, die die Daten der Menschen verkaufen (z.B. Einkaufszentren).“
Quelle: nitrokey.com
(*) Alle mit einem Stern markierten Links sind Affiliate-Links. Wenn Du über diese Links Produkte kaufst, erhält Tarnkappe.info eine kleine Provision. Für Dich entstehen dadurch keine zusätzlichen Kosten, denn die Produktpreise bleiben identisch. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch bitte einmal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.