Una recente ricerca di sicurezza condotta da Nitrokey ha rivelato che gli smartphone dotati di chip Qualcomm starebbero inviando i vostri dati privati all'azienda americana senza che voi lo sappiate. Questi dati includerebbero la posizione, i contatti, i messaggi, la cronologia di navigazione e altro ancora. Si tratterebbe di una grave violazione della privacy e della sicurezza verso milioni di utenti Android in tutto il mondo.
In che modo avverrebbe l'invio di queste informazioni? Secondo Nitrokey sarebbe il chipset Qualcomm stesso a inviare i dati, aggirando le impostazioni o le protezioni di Android. Ciò significa che anche se si utilizza un telefono Android con una ROM personalizzata senza app o servizi Google, il quale dovrebbe essere più privato e sicuro di un telefono Android standard, si sarebbe comunque vulnerabili all'inoltro delle proprie informazioni.
Qualcomm Location Service, precedentemente noto come IZat Location Services o IZat, è un servizio opt-in. Funziona scaricando periodicamente sugli smartphone i dati relativi alla posizione delle antenne e dei punti di accesso Wi-Fi nelle vicinanze. I dati possono essere integrati con quelli dei sensori del dispositivo, come le misurazioni del giroscopio o dell'accelerometro, per facilitare il calcolo della posizione e risparmiare la batteria.
Si tratta in pratica di un modo per rendere il GPS più preciso e affidabile, riducendo al contempo l'uso di hardware radio ad alto consumo energetico. I server IZat forniscono informazioni sulla posizione dei punti di interesse, che i telefoni Qualcomm scaricano via HTTP. In questo modo, i server rivelano gli indirizzi IP pubblici dei telefoni e, secondo NitroKey, alcuni metadati del dispositivo.
"Il firmware proprietario di Qualcomm non si limita a scaricare alcuni file sul nostro telefono per aiutarci a stabilire più velocemente la posizione GPS, ma carica anche i nostri dati personali, come l'ID univoco del dispositivo, il codice del nostro Paese (in questo caso la Germania), il codice del nostro operatore cellulare (che consente di identificare il Paese e l'operatore di telefonia mobile), il nostro sistema operativo e la sua versione e un elenco dei software presenti sul dispositivo", ha dichiarato Nitrokey sostenendo che questi metadati forniti equivalgono a una firma univoca per persona che danneggia la privacy e si verifica anche quando il GPS è spento.
I ricercatori hanno effettuato un test su un Sony Xperia XA2 e avrebbero scoperto, sempre secondo quanto riportato, che esso ha inviato dati a Qualcomm ogni 10 minuti. Essi sospettano che anche altri smartphone con chip Qualcomm possano essere colpiti da questa presunta intrusione. L'accusa di Nitrokey è davvero pesante:
"Riteniamo che raccogliere i dati degli utenti senza il loro consenso sia contrario al Regolamento generale sulla protezione dei dati (GDPR) e abbiamo contattato l'ufficio legale di Qualcomm" scrivono sul proprio blog.
Al contrario l'azienda capitanata da Cristiano Amon ha negato ci sia stata alcuna violazione.
"L'articolo è pieno di imprecisioni e sembra essere motivato dal desiderio dell'autore di vendere il proprio prodotto. Qualcomm raccoglie informazioni personali solo se consentito dalle leggi vigenti. Come indicato nella nostra politica sulla privacy disponibile al pubblico, le tecnologie Qualcomm in questione utilizzano dati non personali.Le tecnologie Qualcomm utilizzano dati tecnici non personali e anonimizzati per consentire ai produttori di dispositivi di fornire ai propri clienti applicazioni e servizi basati sulla localizzazione che gli utenti finali si aspettano dagli smartphone di oggi", così ha commentato un portavoce di Qualcomm alla nostra richiesta di spiegazioni.
Martijn Braam, uno sviluppatore di postmarketOS basato su Alpine-Linux, ha pubblicato un documento in cui ribadisce come la ricerca Nitrokey sia solo dell'inutile marketing. Ha notato che la comunicazione HTTP avviata da Qualcomm non contiene dati privati. "Sta solo scaricando un almanacco GPS da Qualcomm per A-GPS [assisted GPS]", ha osservato.
C'è quindi un reale pericolo di essere spiati? No, non c'è motivo di allarmarsi a meno che non siate dei soggetti a rischio. Come sottolinea una fonte di The Register:
"Se ci si vuole nascondere in un Paese, non si può mai accendere quel telefono e far sì che un qualsiasi identificatore hardware venga utilizzato in un'altra rete, perché potrebbero averlo intrappolato. In alcuni Paesi, hanno la possibilità di conoscere tutto l'hardware in arrivo".
Se la vostra vita dipende dal fatto di non essere tracciati attraverso lo smartphone, magari perché oppositori politici, giornalisti di guerra in Paesi dal regime dittatoriale o simili, non usate uno smartphone. Per gli scenari di privacy meno pressanti, godetevi il vostro telefono con la consapevolezza che probabilmente lascerete qualche traccia del vostro passaggio da qualche parte, nulla di più.