高通芯片驚現(xiàn)“后門”，國產(chǎn)手機，危！ 世界速遞

說一個事：你覺得你的手機有后門嗎？

在很久以前，黑馬一直覺得自己的手機容易被病毒攻陷。那時，黑馬手機中必裝某安全衛(wèi)士，每天不查殺一遍木馬病毒之類就渾身不自在。在黑馬的這種嚴謹之下，黑馬的手機從未遭受過病毒或者木馬的侵襲。

這也讓黑馬一度以為，現(xiàn)在的互聯(lián)網(wǎng)上越來越安全了。然而，黑馬萬萬沒想到，打臉來得如此之快。

近日，德國安全公司 Nitrokey 表示：在采用高通驍龍?zhí)幚砥鞯闹悄苁謾C中，發(fā)現(xiàn)了未經(jīng)用戶同意也能直接將個人數(shù)據(jù)發(fā)送給高通服務(wù)器的情況。

(資料圖片僅供參考)

據(jù)了解，測試手機使用的是索尼 Xperia XA2，搭載驍龍 630 處理器。

根據(jù) Nitrokey 描述，可能還有 Fairphone 以及更多使用高通芯片的安卓手機也存在該漏洞。

哈？

看到這句話，黑馬馬上跑去看了看原文，順便幫大家捋了捋 Nitrokey 的測試條件，是否能夠真的測試出高通在處理器上留有后門秘密，以此收集用戶信息的事情。

首先，Nitrokey 選擇給索尼 Xperia XA2 刷上沒有谷歌搜索服務(wù)的 Android 開源版本—— /e/OS，理論上來說，因為沒有谷歌服務(wù)的參與，運行該系統(tǒng)的設(shè)備是無法被谷歌獲取到信息并定位的，同時該系統(tǒng)也不會向 Google 傳輸信息。

在這之后，Nitrokey 的研究人員在手機關(guān)閉 GPS、沒有 SIM 卡的情況下，通過 Wireshark（一款專業(yè)的監(jiān)控和分析通過網(wǎng)絡(luò)發(fā)送的所有流量的軟件）對其進行流量監(jiān)控。

在連接 Wi-Fi 之后，理論上不該有任何流量波動的索尼 Xperia XA2，向兩個網(wǎng)站產(chǎn)生了流量波動。

在這其中，第一個網(wǎng)站是屬于谷歌，第二個網(wǎng)站也屬于谷歌。搞笑吧，" 去谷歌手機 " 在聯(lián)網(wǎng)的第一時間就是和谷歌聯(lián)系。

經(jīng)過 Nitrokey 的研究人員查詢發(fā)現(xiàn)，/e/OS 這個宣稱 " 完整的、完全‘去谷歌化’的移動生態(tài)系統(tǒng) "，它的谷歌服務(wù)被 microG 取代，而 microG 大家可以簡單理解為 " 基于 Google 開源的專有核心庫 / 應(yīng)用程序的免費克隆 "。

因為 Google 開源代碼許可，允許第三方進行修改，盡管它 " 去谷歌服務(wù) " 了，但是并沒有完全去掉。

所以，這也使得 " 去谷歌手機 " 在聯(lián)網(wǎng)后的第一時間聯(lián)系了該網(wǎng)站。

隨后便重新定向到了取代了 Android 的 Google 服務(wù)器連接檢查的 connectivitycheck.gstatic.com。

好嘛，在這里我們都還能理解，那接下來訪問的這個網(wǎng)站就屬實搞不懂了。

根據(jù) Nitrokey 放出的實驗過程顯示，在兩秒鐘后，" 去谷歌手機 " 再次訪問了一個陌生網(wǎng)站。

這一次，它的狐貍尾巴，終于露出來了。

根據(jù)查詢顯示，izatcloud.net 域名屬于一家名為 Qualcomm Technologies，Inc. 的公司，也就是我們所熟知的高通。而目前，大約 30% 的 Android 設(shè)備均使用了高通處理器，也就說是說，全球 30% 的 Android 手機都有可能存在這個后門。

Nitrokey 從抓包的數(shù)據(jù)上發(fā)現(xiàn)，這些包均是使用的 HTTP 協(xié)議，而非更加安全的 HTTPS、SSL 等協(xié)議加密，這也意味著任何人均可以收集這些數(shù)據(jù)。

鑒于索尼或 /e/OS 的服務(wù)條款中均未提及和高通有數(shù)據(jù)共享協(xié)議，所以 Nitrokey 合理懷疑高通在未經(jīng)用戶許可下偷偷獲取用戶信息。

難不成，高通公司通過處理器后門在偷偷監(jiān)視我們嗎？

對此，高通回應(yīng)稱：

此數(shù)據(jù)收集符合高通的 Xtra 隱私政策，根據(jù) XTRA 服務(wù)隱私政策顯示，高通可能會收集位置數(shù)據(jù)、唯一標識符（例如芯片組序列號或國際用戶 ID）、有關(guān)設(shè)備上安裝和 / 或運行的應(yīng)用程序的數(shù)據(jù)、配置數(shù)據(jù)（例如品牌、型號和無線運營商）、操作系統(tǒng)和版本數(shù)據(jù)、軟件構(gòu)建數(shù)據(jù)以及有關(guān)設(shè)備性能的數(shù)據(jù)（例如芯片組的性能），電池使用情況和熱數(shù)據(jù)。

同時還會從第三方來源獲取個人數(shù)據(jù)，例如數(shù)據(jù)經(jīng)紀人、社交網(wǎng)絡(luò)、其他合作伙伴或公共來源。

就目前來看，除了我們的位置信息之外，高通似乎并沒有訪問其他的敏感信息。基于此，黑馬分析，高通收集這些數(shù)據(jù)可能是為了優(yōu)化自身產(chǎn)品、定制市場畫像，同時分析出手機廠商的市場銷量方便配貨和溢價等。

只不過在不告知用戶的情況下偷偷收集這個信息屬實有點嚇人。

畢竟，當用戶使用搭載驍龍?zhí)幚砥鞯脑O(shè)備接入網(wǎng)絡(luò)之后，高通就能知道這個人在哪、用的什么網(wǎng)絡(luò)，甚至還能通過安裝了哪些 APP 分析出這個人的工作類別、消費能力、興趣愛好等等。

雖然不是直接獲取你的照片、通訊錄、聊天記錄，但是基于收集的數(shù)據(jù)，同樣可以分析出很多的信息。

Nitrokey 得出的結(jié)論是，高通定制的 AMSS 固件不僅優(yōu)先于任何操作系統(tǒng)，而且由于使用非加密的 HTTP 協(xié)議，可以根據(jù)收集到的數(shù)據(jù)創(chuàng)建一個獨特的設(shè)備簽名，且這些信息都可以被第三方訪問。

雖然 Nitrokey 結(jié)尾提到：在部分極端情況下，這些位置信息會被濫用，給智能手機使用者帶來不幸。

但我們國內(nèi)倒也無需有這樣的擔憂，畢竟，通過定位 Android 智能手機拍出無人機遠程擊殺重要人物這種場景，不太可能會出現(xiàn)在中國。

某種程度上來說，在處理器上留下 " 后門 " 已經(jīng)是見怪不怪的事了。早先，某國際大廠就在處理器上留下過后門。這也直接警醒了我們，在核心技術(shù)一定要實現(xiàn)自給自足，要把核心技術(shù)掌握在自己手里。

如果是普通軟件漏洞可以通過補丁更新來修復(fù)，但是這種硬件上面的 " 后門 "，我們沒有任何辦法可以修復(fù)或者規(guī)避。除非你不用智能手機，但這放在現(xiàn)在來說也不太現(xiàn)實。

高通這次傳輸?shù)臄?shù)據(jù)沒什么，但是誰又能保證它沒有留下其他更深層次的后門呢？普通人或許無所謂，但是如果一些在敏感領(lǐng)域工作的人也在使用這種有后門的手機的話，那無疑會造成敏感信息的流失。

普通人要想保護自己的隱私，越來越難了。

如果喜歡我們的內(nèi)容

真誠推薦你星標走一波，還能領(lǐng)紅包