近日，德國安全公司Nitrokey表示：在采用高通驍龍?zhí)幚砥鞯闹悄苁謾C中，發(fā)現(xiàn)了未經(jīng)用戶同意也能直接將個人數(shù)據(jù)發(fā)送給高通服務(wù)器的情況。

據(jù)了解，測試手機使用的是索尼Xperia XA2，搭載驍龍630處理器。

根據(jù)Nitrokey描述，可能還有Fairphone以及更多使用高通芯片的安卓手機也存在該漏洞。

哈？

看到這句話，馬上跑去看了看原文，順便幫大家捋了捋Nitrokey的測試條件，是否能夠真的測試出高通在處理器上留有后門秘密，以此收集用戶信息的事情。

首先，Nitrokey選擇給索尼Xperia XA2刷上沒有谷歌搜索服務(wù)的Android開源版本——/e/OS，理論上來說，因為沒有谷歌服務(wù)的參與，運行該系統(tǒng)的設(shè)備是無法被谷歌獲取到信息并定位的，同時該系統(tǒng)也不會向Google傳輸信息。

在這之后，Nitrokey的研究人員在手機關(guān)閉GPS、沒有SIM卡的情況下，通過Wireshark（一款專業(yè)的監(jiān)控和分析通過網(wǎng)絡(luò)發(fā)送的所有流量的軟件）對其進行流量監(jiān)控。

在連接Wi-Fi之后，理論上不該有任何流量波動的索尼Xperia XA2，向兩個網(wǎng)站產(chǎn)生了流量波動。

在這其中，第一個網(wǎng)站是屬于谷歌，第二個網(wǎng)站也屬于谷歌。搞笑吧，“去谷歌手機”在聯(lián)網(wǎng)的第一時間就是和谷歌聯(lián)系。

經(jīng)過Nitrokey的研究人員查詢發(fā)現(xiàn)，/e/OS這個宣稱“完整的、完全‘去谷歌化’的移動生態(tài)系統(tǒng)”，它的谷歌服務(wù)被microG取代，而microG大家可以簡單理解為“基于Google開源的專有核心庫/應(yīng)用程序的免費克隆”。

因為Google開源代碼許可，允許第三方進行修改，盡管它“去谷歌服務(wù)”了，但是并沒有完全去掉。

所以，這也使得“去谷歌手機”在聯(lián)網(wǎng)后的第一時間聯(lián)系了該網(wǎng)站。

隨后便重新定向到了取代了Android的Google服務(wù)器連接檢查的connectivitycheck.gstatic.com。

好嘛，在這里我們都還能理解，那接下來訪問的這個網(wǎng)站就屬實搞不懂了。

根據(jù)Nitrokey放出的實驗過程顯示，在兩秒鐘后，“去谷歌手機”再次訪問了一個陌生網(wǎng)站。

這一次，它的狐貍尾巴，終于露出來了。

根據(jù)查詢顯示，izatcloud.net域名屬于一家名為Qualcomm Technologies，Inc.的公司，也就是我們所熟知的高通。而目前，大約30%的Android設(shè)備均使用了高通處理器，也就說是說，全球30%的Android手機都有可能存在這個后門。

Nitrokey從抓包的數(shù)據(jù)上發(fā)現(xiàn)，這些包均是使用的HTTP協(xié)議，而非更加安全的HTTPS、SSL等協(xié)議加密，這也意味著任何人均可以收集這些數(shù)據(jù)。

鑒于索尼或/e/OS的服務(wù)條款中均未提及和高通有數(shù)據(jù)共享協(xié)議，所以Nitrokey合理懷疑高通在未經(jīng)用戶許可下偷偷獲取用戶信息。

難不成，高通公司通過處理器后門在偷偷監(jiān)視我們嗎？

對此，高通回應(yīng)稱：

此數(shù)據(jù)收集符合高通的Xtra隱私政策，根據(jù)XTRA服務(wù)隱私政策顯示，高通可能會收集位置數(shù)據(jù)、唯一標(biāo)識符（例如芯片組序列號或國際用戶 ID）、有關(guān)設(shè)備上安裝和/或運行的應(yīng)用程序的數(shù)據(jù)、配置數(shù)據(jù)（例如品牌、型號和無線運營商）、操作系統(tǒng)和版本數(shù)據(jù)、軟件構(gòu)建數(shù)據(jù)以及有關(guān)設(shè)備性能的數(shù)據(jù)（例如芯片組的性能），電池使用情況和熱數(shù)據(jù)。

同時還會從第三方來源獲取個人數(shù)據(jù)，例如數(shù)據(jù)經(jīng)紀(jì)人、社交網(wǎng)絡(luò)、其他合作伙伴或公共來源。

就目前來看，除了我們的位置信息之外，高通似乎并沒有訪問其他的敏感信息。基于此，黑馬分析，高通收集這些數(shù)據(jù)可能是為了優(yōu)化自身產(chǎn)品、定制市場畫像，同時分析出手機廠商的市場銷量方便配貨和溢價等。

只不過在不告知用戶的情況下偷偷收集這個信息屬實有點嚇人。

畢竟，當(dāng)用戶使用搭載驍龍?zhí)幚砥鞯脑O(shè)備接入網(wǎng)絡(luò)之后，高通就能知道這個人在哪、用的什么網(wǎng)絡(luò)，甚至還能通過安裝了哪些APP分析出這個人的工作類別、消費能力、興趣愛好等等。

雖然不是直接獲取你的照片、通訊錄、聊天記錄，但是基于收集的數(shù)據(jù)，同樣可以分析出很多的信息。

Nitrokey得出的結(jié)論是，高通定制的AMSS固件不僅優(yōu)先于任何操作系統(tǒng)，而且由于使用非加密的HTTP協(xié)議，可以根據(jù)收集到的數(shù)據(jù)創(chuàng)建一個獨特的設(shè)備簽名，且這些信息都可以被第三方訪問。

雖然Nitrokey結(jié)尾提到：在部分極端情況下，這些位置信息會被濫用，給智能手機使用者帶來不幸。

但我們國內(nèi)倒也無需有這樣的擔(dān)憂，畢竟，通過定位Android智能手機拍出無人機遠(yuǎn)程擊殺重要人物這種場景，不太可能會出現(xiàn)在中國。

某種程度上來說，在處理器上留下“后門”已經(jīng)是見怪不怪的事了。早先，某國際大廠就在處理器上留下過后門。這也直接警醒了我們，在核心技術(shù)一定要實現(xiàn)自給自足，要把核心技術(shù)掌握在自己手里。

如果是普通軟件漏洞可以通過補丁更新來修復(fù)，但是這種硬件上面的“后門”，我們沒有任何辦法可以修復(fù)或者規(guī)避。除非你不用智能手機，但這放在現(xiàn)在來說也不太現(xiàn)實。

高通這次傳輸?shù)臄?shù)據(jù)沒什么，但是誰又能保證它沒有留下其他更深層次的后門呢？普通人或許無所謂，但是如果一些在敏感領(lǐng)域工作的人也在使用這種有后門的手機的話，那無疑會造成敏感信息的流失。

普通人要想保護自己的隱私，越來越難了。