Smartphones mit verbreitetem Qualcomm-Chip senden heimlich private Informationen an US-Chiphersteller

Zusammenfassung

Bei unserer Sicherheitsanalyse haben wir festgestellt, dass Smartphones mit Qualcomm-Chip heimlich persönliche Daten an Qualcomm senden. Diese Daten werden ohne Zustimmung des Nutzers und unverschlüsselt gesendet, selbst wenn eine Google-freie Android-Distribution verwendet wird. Dies ist möglich, weil die proprietäre Software von Qualcomm, die die Hardware unterstützt, auch die Daten sendet. Betroffen sind Smartphones wie das Sony Xperia XA2 und wahrscheinlich das Fairphone und viele andere Android-Handys, die weit verbreitete Qualcomm-Chips verwenden.

 

Einleitung

Das Smartphone ist ein Gerät, dem wir praktisch alle unsere Geheimnisse anvertrauen. Schließlich ist es das allgegenwärtigste Gerät, das wir 24 Stunden am Tag bei uns tragen. Sowohl Apple als auch Android mit ihrem App Store und Google Play Store spionieren ihre zahlenden Kunden aus. Als datenschutzfreundlichere Alternative installieren einige technikaffine Menschen eine Google-freie Version von Android auf ihrem normalen Smartphone. Als Beispiel haben wir ein solches Setup mit einem Sony Xperia XA2 analysiert und festgestellt, dass dies möglicherweise keinen ausreichenden Schutz bietet, da proprietäre Herstellersoftware, die sich vom (quelloffenen) Betriebssystem unterscheidet, private Informationen an den Chiphersteller Qualcomm sendet. Diese Erkenntnis gilt auch für andere Smartphones mit einem Qualcomm-Chip wie dem Fairphone.

Was ist ein entgoogeltes Android-Handy?

Ein Google-freies Android-Handy ist ein Gerät, das so verändert wurde, dass es keine proprietären Anwendungen oder Dienste von Google enthält. Dazu wird in der Regel eine spezielle ROM installiert, das die Standard-Android-Software durch ein Open-Source-Android ersetzt, welches keine Google-Apps enthält. Sie können ein solches Android entweder selber installieren oder ein Telefon kaufen, bei dem dies bereits für Sie erledigt ist (z. B. NitroPhone).

Die Überwachungs- und Verfolgungswerkzeuge von Google sind allgegenwärtig, aber das meiste "Böse" befindet sich in den Google Play Services, die closed-source sind. Millionen von Codezeilen, die u. a. dazu dienen, Ihre Umgebung ständig nach Bluetooth- und WiFi-Geräten zu scannen, WiFi-Signal-Triangulation zu nutzen und dann die sichtbaren WiFi-Antennen mit der Google-Datenbank aller geografischen Standorte aller WiFi-Zugangspunkte abzugleichen, die sie sammeln, um Ihren genauen Standort jederzeit zu kennen. Das alles funktioniert, ohne dass eine Verbindung zu den erkannten WiFi-Netzwerken hergestellt werden muss, und sogar, wenn Ihr GPS ausgeschaltet ist. Diese Methode ähnelt der Art und Weise wie die CIA in den 1990er Jahren Pablo Escobar aufspürte, und wird jetzt in großem Maßstab eingesetzt, um jeden Bürger rund um den Globus zu verfolgen.

Sample of wireless access point geolocation database www.wigle.net

Beispiel für die Geolokalisierungsdatenbank für drahtlose Zugangspunkte www.wigle.net

Um das allmächtige Google und Apple und seine 24-Stunden-Überwachungstools loszuwerden, besteht eine Möglichkeit darin, ein entgoogeltes Android-Handy zu verwenden. Ihr entgoogeltes Telefon verfügt dann nicht über die Google Play Services und den Google Play Store sondern verwendet stattdessen eine alternative Open-Source-Store-App, die die gleichen Apps anbietet. Sie können die Verwendung eines Stores auch ganz vermeiden, indem Sie Ihre Apps (mit der Dateierweiterung APK) direkt von der Website des Softwareanbieters herunterladen. Das ist genauso, wie wenn Sie ein Programm herunterladen, um es auf Ihrem PC zu installieren.

Analysieren eines entgoogelten Telefons

Sony Xperia XA2

In diesem Test haben wir uns entschieden, /e/OS auszuprobieren, eine Google-freie Open-Source-Version von Android, bei der der Datenschutz im Vordergrund steht und die Ihnen die Kontrolle über Ihre Daten geben soll. /e/OS behauptet, dass es Sie nicht verfolgt und Ihre Daten nicht verkauft. Das wollen wir herausfinden.

Wir haben /e/OS auf einem Sony Xperia XA2 Smartphone installiert. Nach der Installation startet das Telefon mit dem /e/OS-Einrichtungsassistenten. Es fordert uns auf, den GPS-Ortungsdienst zu aktivieren, aber wir haben ihn absichtlich ausgeschaltet, weil wir ihn jetzt nicht brauchen.

Wir haben auch keine SIM-Karte in das Telefon eingelegt, damit es nur Daten über das WIFI-Netzwerk senden und empfangen kann, das wir mit Wireshark überwachen. Wireshark ist ein professionelles Software-Tool, mit dem wir den gesamten Datenverkehr, der über das Netzwerk gesendet wird, überwachen und analysieren können.

Nachdem wir unser WiFi-Passwort im Einrichtungsassistenten eingegeben hatten, wies der Router unserem /e/OS Google-freien-Telefon eine lokale IP-Adresse zu und es begann, Datenverkehr zu erzeugen.

Wir sehen die ersten DNS-Anfragen:

[2022-05-12 22:36:34]    android.clients.google.com
[2022-05-12 22:36:34]    connectivity.ecloud.global

Überraschenderweise ist die erste Verbindung des Google-freien Telefons zu google.com. Laut Google dient der Host android.clients.google.com dem Google Play Store für die regelmäßige Geräteregistrierung, den Standort, die Suche nach Apps und viele andere Funktionen. Das ist seltsam, denn wir haben ein entgoogeltes Telefon ohne den Google Play Store. Später fanden wir heraus, dass diese Anfrage von microG stammt, einer Open-Source-Neuimplementierung der proprietären Kernbibliotheken und Anwendungen von Google.

Dann verbindet es sich mit connectivity.ecloud.global, das laut /e/OS den Google-Server connectivitycheck.gstatic.com von Android ersetzt.

Zwei Sekunden später fing das Telefon an, zu kommunizieren:

[2022-05-12 22:36:36]    izatcloud.net
[2022-05-12 22:36:37]    izatcloud.net

Es ist uns kein Unternehmen oder Dienst mit dem Namen izatcloud.net bekannt. Deshalb haben wir das Impressum und die Datenschutzbestimmungen von /e/OS durchsucht, aber keinen Hinweis auf die gemeinsame Nutzung von Daten mit der Izat Cloud gefunden. In der /e/OS-Datenschutzerklärung heißt es eindeutig: "Wir geben keine individuellen Informationen an andere weiter". Wir haben dann den /e/OS-Quellcode durchsucht, den sie auf Gitlab zur Verfügung stellen, und wir konnten keine Hinweise auf die Izat Cloud finden.

Eine schnelle WHOIS-Abfrage zeigt uns, dass die Domäne izatcloud.net einem Unternehmen namens Qualcomm Technologies, Inc. gehört. Das ist interessant. Qualcomm-Chips werden derzeit in ca. 30% aller Android-Geräte verwendet, darunter Samsung- und auch Apple-Smartphones. Unser Testgerät für die /e/OS deGoogled Version von Android ist ein Sony Xperia XA2 mit einem Qualcomm Snapdragon 630 Prozessor. Da haben wir also eine Spur.

Spioniert Qualcomm uns aus?

Bei näherer Betrachtung können wir feststellen, dass die Pakete über das HTTP-Protokoll gesendet werden und nicht mit HTTPS, SSL oder TLS verschlüsselt sind. Das bedeutet, dass jeder andere im Netzwerk, einschließlich Hackern, Regierungsbehörden, Netzwerkadministratoren, Telekommunikationsbetreiber im In- und Ausland, uns leicht ausspionieren können, indem sie diese Daten sammeln, sie speichern und eine Aufzeichnungshistorie mit der eindeutigen ID und Seriennummer des Telefons erstellen, die Qualcomm an seine geheimnisvoll genannte Izat Cloud sendet.

Die Weitergabe von Daten an Qualcomm wird weder in den Nutzungsbedingungen von Sony (dem Gerätehersteller) noch von Android oder /e/OS erwähnt. Qualcomm tut dies ohne die Zustimmung der Nutzer.

Wir sind der Meinung, dass es gegen die Allgemeine Datenschutz-Grundverordnung (DSGVO) verstößt, wenn Nutzerdaten ohne ihre Zustimmung gesammelt werden, und haben den Rechtsabteilung von Qualcomm in dieser Angelegenheit kontaktiert. Einige Tage später antworteten sie und teilten uns mit, dass diese Datenerfassung im Einklang mit der Datenschutzrichtlinie von Qualcomm Xtra steht, und gaben uns einen Link zu ihrer Datenschutzrichtlinie für den XTRA-Dienst. Es hat also den Anschein, dass diese Izat Cloud, von der wir noch nie gehört haben, Teil des XTRA-Dienstes ist, von dem wir ebenfalls noch nie gehört haben. Wir haben den Eindruck, dass Qualcomm die Dinge gerne geheimnisvoll hält, daher der Name Izat Cloud und der XTRA-Dienst.

Unter dem Link, den Qualcomm uns geschickt hat, heißt es in der Datenschutzrichtlinie des XTRA-Dienstes:

“Through these software applications, we may collect location data, unique identifiers (such as a chipset serial number or international subscriber ID), data about the applications installed and/or running on the device, configuration data such as the make, model, and wireless carrier, the operating system and version data, software build data, and data about the performance of the device such as performance of the chipset, battery use, and thermal data.

We may also obtain personal data from third party sources such as data brokers, social networks, other partners, or public sources.”

Die IP-Adresse wird nicht erwähnt, aber wir gehen davon aus, dass sie ebenfalls erfasst wird. Nach Abschluss unserer Nachforschungen haben sie die Datenschutzbestimmungen aktualisiert und hinzugefügt, dass sie auch die IP-Adresse des Gerätes erfassen. Außerdem wurde die Information hinzugefügt, dass diese Daten für 90 Tage zu "Qualitätszwecken" gespeichert werden.

Zur Verdeutlichung hier eine Liste der Daten, die Qualcomm laut ihrer Datenschutzrichtlinie von Ihrem Telefon erfassen kann:

  1. Eindeutige ID
  2. Name des Chipsatzes
  3. Seriennummer des Chipsatzes
  4. Version der XTRA-Software
  5. Ländercode des Mobiltelefons
  6. Code des Mobilfunknetzes (zur Identifizierung des Landes und des Mobilfunkbetreibers)
  7. Typ des Betriebssystems und Version
  8. Gerätemarke und -modell
  9. Zeit seit dem letzten Start des Anwendungsprozessors und des Modems
  10. Liste der Software auf dem Gerät
  11. IP-Adresse

Bei näherer Betrachtung stellt sich heraus, dass der "XTRA Service" von Qualcomm Assisted GPS (A-GPS) bereitstellt wird und dazu beiträgt, einem mobilen Gerät genaue Satellitenpositionen zu liefern.

Was ist Assisted GPS (A-GPS), und warum brauche ich es?

GPS wurde ursprünglich ausschließlich für militärische Zwecke entwickelt, um Flugzeuge, Personal und Bomben zu steuern. Die Empfänger wurden in der Regel in offenen Regionen mit Sichtverbindung zu den Satelliten verwendet. Seitdem GPS jedoch auch für die kommerzielle Nutzung verfügbar ist, haben neue Anwendungen die Anforderungen an das System erhöht.

Diese neuen Anwendungen erforderten, dass die GPS-Signale Hindernisse wie Bäume und Dächer durchdringen. So entstand die "assisted GPS"- oder A-GPS-Lösung. Mit A-GPS lädt das Telefon verschiedene Dateien herunter, die die Umlaufbahnen und den Status von Satelliten mit den ungefähren GPS-Satellitenpositionen für die nächsten 7 Tage enthalten, um den Standort des Telefons schnell bestimmen zu können.

Proprietäre Gerätetreiber sind problematisch

Der größte Teil von Android wird als Open Source veröffentlicht und kann daher auf mögliche Sicherheits- und Datenschutzprobleme hin untersucht werden. In der Regel fügen die Smartphone-Hersteller jedoch zusätzliche proprietäre Software wie Gerätetreiber, Firmware-Blobs, Systemdienste und Apps hinzu. Die Apps sind für den Benutzer direkt sichtbar und können das System so stark verändern, dass es an einen PC aus den 90er Jahren erinnert, der mit Windows 95 und einer Menge so genannter Bloatware ausgeliefert wurde.

Natürlich benötigen auch die Google-freien Android-Distributionen Gerätetreiber, um eine bestimmte Hardware zu unterstützen. Bei diesen Treibern handelt es sich in der Regel um proprietäre Software, die vom Betriebssystem ausgeführt wird und nicht nur die erforderliche Hardwareunterstützung bietet, sondern auch unerwünschtes Verhalten zeigen kann. Dies hat zur Folge, dass wir selbst bei einem degegoogelten Gerät immer noch keine vollständige Kontrolle über unsere Privatsphäre und die Weitergabe personenbezogener Daten (PII) haben, da die Software des Herstellers, die unsere privaten Daten weitergibt, closed-source ist.

Aus diesem Grund setzt Nitrokey generell auf Open Source, was für ein sicheres System unumgänglich ist. Open-Source-Software (und -Hardware) ist die einzige Möglichkeit, das Verhalten eines Systems zu überprüfen und seine Sicherheit zu gewährleisten.

Sind auch andere Smartphones betroffen?

Eine weitere beliebte Option, die häufig wegen ihrer Privatsphäre gewählt wird, ist das Fairphone. Das niederländische Unternehmen stellt hervorragende Telefone her, bei denen die Nutzer das Telefon selbst warten und Teile austauschen können, wenn sie kaputt sind. Trotz seines Rufs, die Privatsphäre der Nutzer zu schützen, enthalten alle Fairphone-Modelle einen Qualcomm-Chip, der wahrscheinlich Qualcomm Software ausführt. Das Fairphone hat daher das gleiche Problem mit der Weitergabe von persönlichen Daten an den Qualcomm XTRA Service. Obwohl nicht getestet, vermuten wir, dass die gleichen Datenschutzprobleme auch bei vielen anderen Smartphone-Marken auftreten, die Qualcomm-Prozessoren verwenden, einschließlich so genannter verschlüsselter Telefone oder Krypto-Telefone.

NitroPhone ist sicher

NitroPhone 3 ProDas NitroPhone von Nitrokey enthält nicht den Qualcomm-Chipsatz, und unsere Tests bestätigen, dass bei ausgeschaltetem GPS keine A-GPS-Anfragen gestellt werden. Wenn GPS eingeschaltet ist, um zu verhindern, dass Google Ihre IP-Adresse erhält und speichert, kontaktiert das GrapheneOS des NitroPhone die A-GPS-Dateien von google.psds.grapheneos.org, einem Proxy-Server, der von GrapheneOS zum Schutz der Privatsphäre der Nutzer bereitgestellt wird. Im Gegensatz zu Qualcomm gibt GrapheneOS keine persönlichen Daten an die GrapheneOS-Proxyserver und auch nicht an Google oder Qualcomm weiter.

Darüber hinaus ermöglicht GrapheneOS die Deaktivierung der Funktion zur Abfrage von A-GPS-Dateien (Opt-Out) oder, wenn Sie es vorziehen, die Verwendung der Standard-Server agnss.goog von Android. Im Moment unterstützen weder /e/OS, Lineage oder Sailfish OS noch irgendein anderes Telefon, das wir finden konnten, diese Funktion oder bieten dieses Maß an Freiheit.

Fazit

Qualcomms proprietäre Software lädt nicht nur einige Dateien auf unser Telefon herunter, um die GPS-Ortung zu beschleunigen, sondern lädt auch unsere persönlichen Daten hoch, z. B. die eindeutige ID des Geräts, unseren Ländercode (in diesem Fall Deutschland), den Code unseres Mobilfunkbetreibers (der die Identifizierung des Landes und des Mobilfunkbetreibers ermöglicht), unser Betriebssystem und dessen Version sowie eine Liste der Software auf dem Gerät. Auf diese Weise wird eine völlig eindeutige Signatur von uns erstellt, die eine Verhaltensverfolgung (Tracking) ermöglicht und die Privatsphäre des Nutzers erheblich einschränkt. Ganz gleich, ob wir GPS ausgeschaltet haben oder nicht.

Die Tatsache, dass Qualcomm eine große Menge sensibler Daten sammelt und sie über das unsichere und veraltete HTTP-Protokoll überträgt, zeigt uns, dass dem Unternehmen die Privatsphäre und die Sicherheit der Nutzer egal sind. Man muss nicht über eine Zusammenarbeit von Qualcomm mit verschiedenen staatlichen Spionageagenturen spekulieren, sondern es schafft auch ein Risiko, wenn der Datenverkehr möglicherweise auch von Diktatoren und anderen unterdrückerischen Regierungen abgefangen wird, die nicht einmal eine Zusammenarbeit mit Qualcomm benötigen. Nicht nur Drohnen nutzen häufig Standortinformationen, um Menschen ins Visier zu nehmen. Es gibt Fälle, in denen die Entführung und/oder Ermordung von Menschen durch die Nutzung der Standortdaten der Opfer erleichtert wurde. Ein aktuelles Beispiel ist der Iran, wo Demonstranten aufgrund der Ortung ihres Smartphones verhaftet wurden. Dazu muss das Telefon nicht einmal angezapft werden. Der Klartextverkehr ist auch ein Tummelplatz für Datenbroker, die die Daten der Menschen verkaufen (z.B. Einkaufszentren).

Betroffene Nutzer könnten versuchen, den Qualcomm XTRA Service mit einem DNS-over-TLS Cloud-basierten Blockierdienst zu blockieren oder diesen Datenverkehr selbst zum Proxy-Server von GrapheneOS umzuleiten, aber das erfordert technisches Know-how und bietet nicht das gleiche Maß an Sicherheit wie das NitroPhone.
 

Aktualisierung 6.5.2023
GrapheneOS hat den zweiten und letzten Teil der Behebung dieses Problems für die Qualcomm-Geräte veröffentlicht.

Aktualisierung, 2.5.2023

Wir veröffentlichten diesen Artikel am 25.4.2023 woraufhin er in sozialen Medien (insb. Mastodon) heftig diskutiert wurde. Neben Interesse und Lob wurde er auch kritisiert. Einige dieser Kritik war berechtigt aber ebenso gab es unberechtigte Kritik und Missverständnisse. Daher hier eine Übersicht der Geschehnisse und unsere Stellungnahme zu der Kritik:

Am gleichen Tag reagierte GrapheneOS mit einer technischen Kritik. Deren Stellungnahme beginnt jedoch mit einer Kritik des Reddit Posts "German security company Nitrokey proves that Qualcomm chips have a backdoor and are phoning home" und nicht unseres Artikels:

NitroKey did not discover a backdoor. [...] The title used for the post here is editorialized and doesn't match what the article actually states. This is not a backdoor.

GrapheneOS bezieht sich hiermit auf den Reddit Beitrag, der von einer angeblich gefundenen "Backdoor" schrieb und nicht auf unseren Artikel. In unserem Artikel ist nämlich nicht von einer Backdoor die Rede sondern der Titel des Reddit Posts (der nicht von uns stammt) ist falsch. Offensichtlich haben dies viele Menschen (z.B. auf Mastodon) missverstanden.

The post is very sensationalized and it's unfortunate they didn't run this by us first.

Sie haben Recht, und wir werden aus diesem Fehler lernen und in Zukunft für qualitativ bessere Veröffentlichungen sorgen.

Darüber hinaus äußerte GrapheneOS berechtigte Kritik an unserem Artikel, in dem fälschlicherweise angenommen wurde, dass die kritisierte Funktionalität in der Firmware des Chips ausgeführt wird. Stattdessen wird diese Funktion im Xtra Daemon im User Space ausgeführt. Dies haben wir am 27.4. im Artikel korrigiert. Desweiteren haben wir an dem Tag korrigiert, dass microG für den Aufruf von android.clients.google.com verantwortlich ist.

Ebenfalls am 25.4. reagierte Martijn Braam mit einer Kritik. U.a. kritisierte er, dass der Artikel zu reißerisch sei. Aus Sicht eines IT-Experten, für den die beschriebenen Sachverhalte seit langem bekannt sind, mag dies so wahrgenommen werden. Allerdings richtet sich dieser Artikel auch an nicht-Experten. Und ja, um ein technisch anspruchsvolles Thema weit zu kommunizieren muss man es mitunter auf einen Punkt zusammen fassen.

There's no claims being made by NitroKey that their phone doesn't provide any of this [Cell network, WiFi and network geolocation].

Auch wenn dies weniger eine Kritik, hier eine Klarstellung: NitroPhones (bzw. GrapheneOS) verwendet keine solchen Geolokalisierungsdienste.

This system does not actually send any of your private information like the title of the article claims.

Hier sind wir anderer Meinung und dies ist der Kernpunkt unseres Artikels. Dieses Problem wurde bereits bei Fairphone festgestellt.

This feature is not breaking laws, it's not unethical, it's not even made for eeeevill.

Wir bleiben bei unserer Überzeugung, dass das Sammeln von Geräte-IDs und IP-Adressen ohne die Zustimmung des Nutzers weder als legitim noch als ethisch vertretbar angesehen werden kann. Was den Verstoß gegen das Gesetz angeht, haben uns mehrere Gerichtsurteile zu dem berechtigten Zweifel veranlasst, dass Qualcomm mit dieser Datenerfassung gegen die DSGVO verstößt, aber da wir keine Juristen sind, haben wir dies Noyb gemeldet, einer gemeinnützigen Organisation, die sich für die rechtliche Durchsetzung der europäischen Datenschutzgesetze einsetzt.

Am 26.4 bzw. 27.4. veröffentlichte The Register und Computer Base eine Stellungsnahme Qualcomms und eine Analyse unseres Artikels. [7] Leider fokussieren sich diese Berichte auf den oben erwähnten und bereits korrigierten Fehler in unserem Artikel. Gleichzeitig bestätigen sie, dass die Geräte-ID und IP Adresse sowie weitere persönliche Informationen an den Hersteller übertragen werden.

Qualcomm spielt dies herunter und widerspricht sich dabei selber:

[...] the relevant Qualcomm technologies use non-personal, anonymized, technical data to enable device manufacturers to provide their customers location-based apps and services [...]

Leider stellt Computer Base die Notwendigkeit der Datenübermittlung nicht in Frage, stimmt uns aber in folgendem Punkt zu:

Verschlüsselte Verbindung wäre angebracht

The Register bewertet das Risiko wie folgt:

Mobile device data transmissions may pose a problem in high-risk environments because network identifiers such as IP addresses can be considered personal data, particularly when paired with hardware identifiers or other sorts of data.

Und ebenfalls bestätigte am 27.4. GrapheneOS:

NitroKey is correct that xtra-daemon has support for sending information on the device including device model, serial number, etc. They're also correct that the user is never asked about it. [3]

Am 28.4. legte ein DDoS Angriff unsere Webseite für 20 Stunden lahm. Wir nehmen an von jemandem, der unseren Artikel nicht mochte. Schade, dass sich Menschen häufig nur auf Grund von Überschriften oder Halbwahrheiten eine Meinung bilden und dies solche Folgen haben kann.

Am 29.4. fasste GrapheneOS zusammen:

We weren't trying to say that anything was wrong with NitroKey's product only that their post has been corrected and the issue they talk about is real, but they got some important details wrong. We think the post needs some more changes and it's unfortunate that their coverage of a real issue got derailed by them making some mistakes about the details and over-sensationalizing it.

Am 30.4. veröffentlichte GrapheneOS eine Softwareaktualisierung, die das von uns aufgezeigte Datenschutzproblem für GrapheneOS teilweise behebt.

Leider ist die Kernaussage unseres Artikels in der ganzen Diskussion etwas in den Hintergrund gedrenkt worden. Wir stehen zu der Aussage unseres Artikels, dass Qualcomm unberechtigter und unnötiger Weise private Informationen der Nutzer sammelt.

Aktualisierung, 27.4.2023
Der Text wurde dahingehend korrigiert, dass die verantwortliche Software nicht als Firmware sondern im Betriebssystem ausgeführt wird. Auch Anfragen an android.clients.google.com stammen von microG.

Autor
Paul Privacy ist ein unabhängiger Sicherheitsforscher, der sich auf den Schutz der Privatsphäre konzentriert und anderen hilft, die Privatsphäre auf ihren Telefonen und Computern zu schützen. Denn Privatsphäre ist cool. Und ausspioniert zu werden ist NICHT cool. Sei privat. Sei cool. Für eine kostenlose Beratung können Sie mich kontaktieren unter: [email protected] oder folgen Sie mir auf Twitter unter @PaulPrivacyCool

 

8.5.2023

Comments

Submitted by ezra abrams on 25. April 2023 - 16:29
Isn't it easier for most peole to just carry their phone in a copper mesh bag, then buy some wierd custom ROM phone ?
Submitted by meissner on 26. April 2023 - 3:31
if this solves the issue for you, nothing will hold you back - personally I prefer my smartphone to have an internet connection available
Submitted by BobDobbsJr on 26. April 2023 - 19:53
Sure, that will work as long as you never take it out of the bag.
Submitted by Not Me on 27. April 2023 - 12:01
or just don't have a (smart)phone in the first place :D
Submitted by Bill Dietrich on 25. April 2023 - 16:50
Re: "operates on the broadband processor (modem)": I think this is the "baseband" processor. I could be wrong.
Submitted by JackDonut on 25. April 2023 - 19:07
This is some bullshit they're doing to say "e/OS bad, buy our phone" This is not indepedent 3rd party research
Submitted by meissner on 26. April 2023 - 3:30
please read carefully, it does not say anything about /e/ being bad, in the contrary, it is used because it is a well known and good de-googled phone OS and due to microG it might leak private data to 3rd party servers.
Submitted by sebboh on 25. April 2023 - 19:19
Thanks for your work. I encourage you to reproduce this test on a cellular network. It may be necessary to use something like a "stingray" mobile base station.
Submitted by Ben on 25. April 2023 - 19:49
Ist das Nitrophone 1 mit Snapdragon 730G auch betroffen?
Submitted by Jan Suhr on 27. April 2023 - 13:59
Nein. (PSDS wird von GrapheneOS realisiert und iZat wird in GrapheneOS nicht verwendet.)
Submitted by Anonymous on 25. April 2023 - 21:59
Kann das Verhalten auch beim 765 nachvollziehen.
Submitted by Joe on 25. April 2023 - 22:57
What a load of sensationalized shite. Even the creators of grapheneOS, the OS on your "NitroPhone" (aka Google Pixel reflashed and sold for 2x the price), disagree with this article
Submitted by meissner on 27. April 2023 - 22:12
Hey, thanks for making us aware. In the meantime we've updated the article to be more accurate, also based on GrapheneOS devs' feedback and discussions.
Submitted by weakish on 6. Mai 2023 - 20:11
"NitroPhone does not contain the Qualcomm chipset". I think you should also update this sentence, like "All current NitroPhone models (replace with model list) do not contain the Qualcomm chipset". My brain still links NitroPhone to Pixel 4a and wondering why NitroPhone not containing Qualcomm chipset.
Submitted by Anonymous on 25. April 2023 - 23:29
Thank you, the article is interesting. As far as i know, the nitrophone is based on qualcomm SoC, namely Qualcomm Snapdragon 730G. Do you have some information that this SoC doesn't contain AMSS or doesn't communicate with 'Xtra' service ?
Submitted by meissner on 27. April 2023 - 22:15
The sender origin is within the OS (the article was updated), by our best knowledge GrapheneOS does provide own (server) sources for A-GPS connections - thus none of the NitroPhones should be affected.
Submitted by Jeremiah on 26. April 2023 - 4:05
Where do I get one?
Submitted by meissner on 27. April 2023 - 22:16
You can find them in our shop
Submitted by Anonymous on 26. April 2023 - 4:30
This is bullshit mainly because /e/OS uses microG, which connects to those ip addresses.
Submitted by meissner on 27. April 2023 - 22:18
We updated the article, especially the origin of the requests. Although the initial observation (private data is leaked to a US server) is still valid.
Submitted by realSiRiSn0w on 26. April 2023 - 5:05
A misleading article claiming big privacy breaches, while testing only one Qualcomm phone, that too is old (legacy device). On my de-googled xiaomi phone with sd888, i can't find any connections to izatcloud.net. Besides, AOSP doesn't connect to android.clients.google.com for Android device registration, microG does. You used e/OS with microG bundled in, but didn't used vanilla LineageOS or GrapheneOS which ships without microG. Remember, microG is an implementation of Play Services. Therefore, i find this article a clickbait, which causes FUD amongst privacy-focused people.
Submitted by meissner on 27. April 2023 - 22:48
Yes, point taken. We updated the article to be more accurate. The observation (although you are right for this specific device only) is still true that the device leaks possibly personal data.
Submitted by Goertz on 26. April 2023 - 5:45
A: I'm worried about the security of my data after reading that Qualcomm sends it unencrypted! PP: No problem, I offer free consultations on such topics. Just send me an unencrypted mail with details of what you would like to hide. A (unencrypted mail to PP): I want to keep secret the fact that XXX PP (unencrypted reply): OK, my unbiased advice: buy a NitroPhone.
Submitted by Anonymous on 26. April 2023 - 6:05
I call bullshit as well. Even if true, Qualcomm can know everything about me. You're going to have to pry the 8 series chips from my cold dead hands.
Submitted by KarlE on 26. April 2023 - 7:16
Mir ist klar, dass es schwieriger nachzuvollziehen ist: Habt ihr Erkenntnisse, dass die gezeigte Kommunikation auch über die Mobilfunkschnittstelle stattfindet? Was ist, wenn ich weder in einem WLAN eingebucht bin noch Mobilfunk-Daten aktiviert habe (also nur ins Mobiltelefonnetz eingebucht bin)? PS. @PaulPrivacyCool: ich finde, inzwischen wäre ein Fediverse-Account cooler als Musks Twitter.
Submitted by meissner on 27. April 2023 - 22:49
Das wurde nicht getestet, dazu können wir nichts sagen.
Submitted by CryptGoat on 26. April 2023 - 8:38
Schöner Werbepost, aber vielleicht hättet ihr euch mal mit den Entwicklern von GrapheneOS abstimmen sollen: [removed link]
Submitted by meissner on 27. April 2023 - 22:51
Yes, wir haben mittlerweile den Artikel entsprechend angepasst.
Submitted by nautnaut on 26. April 2023 - 9:03
Ok i get that the goal is to sell your phone and the research is very useful (thank you!), But what about legal actions? What can affected users/ orgs do about this? Looks like a case for a massive rgpd fine, no? How to do that? Who can start that?
Submitted by nautnaut on 26. April 2023 - 9:31
Can you share logs of the requests with the data that is sent to Qualcomm?
Submitted by meissner on 27. April 2023 - 22:52
Yes, we plan to do this.
Submitted by Anonymous on 26. April 2023 - 10:43
If it is in plaintext HTTP, why not post the actual packets/requests instead of fear mongering with what "could" be sent? I'm guessing it literally is just a GET request for a static A-GPS file. No private data exfiltration. This is just an ad, provides no evidence of actual wrong doing by Qualcomm...
Submitted by weakish on 6. Mai 2023 - 20:22
I also think the post can be written more clear. The current version is technically correct. It uses the word "may". But if a reader does not read the post carefully and just scan this long post, I suspect they may have a wrong impression that Qualcomm collected a lot of sensitive data without user consent.
Submitted by tom on 26. April 2023 - 11:08
In meinem DNS-Log sind sich ebenso SubDomains von izatcloud.net vorhanden. Danke für den Artikel!
Submitted by Glycerin on 26. April 2023 - 11:36
Not very new indeed, read on /e/OS tracker (gitlab.e.foundation, issue 5765 - cannot add links to comments !?) gitlab.e.foundation/e/backlog/-/issues/5765
Submitted by G on 26. April 2023 - 12:58
Many thanks for this report! It shows how important not only only Operating Systems are, but Open Hardware as well. It would be nice (and a lot of work) to have a HW leak comparison table, especially for those phones models that are often used with Custom ROMs.
Submitted by Someone on 26. April 2023 - 14:30
This article is highly misleading and shows that Nitrokey is not aware of how A-GPS works. People with more knowledge have commented on it here: fosstodon.org/@biktorgj/110263336003756685 blog.brixit.nl/nitrokey-dissapoints-me/ And by the way, trying to block external links in comments here is a stupid idea. I get you need to prevent spam, but then at least put the comment in a moderation queue...
Submitted by meissner on 27. April 2023 - 23:00
Thanks, for your suggestions. Generally the mastodon thread shows pretty good that leaking potentially private data is the thing we would like to focus on. Anyways, we also updated the article after collecting feedback, especially the origin of the request was clarified.
Submitted by Roman on 26. April 2023 - 15:07
Please do the same tests with huawei phones. Thank you!
Submitted by Anonymous on 26. April 2023 - 15:54
Rather old news. That was discussed on reddit already 7 years ago
Submitted by Anonymous on 29. Oktober 2023 - 10:34
Seven years is enough time for the public to forget about it for at least 5 times.
Submitted by Anonymous on 26. April 2023 - 16:00
Your own website states that your NitroPhone is based on the Pixel 4a. The CPU is a Qualcomm Snapdragon 730G, Octa-core.
Submitted by meissner on 27. April 2023 - 23:01
Yes, using GrapheneOS - by our best knowledge GrapheneOS does provide own (server) sources for A-GPS almanac connections - thus none of the Nitrophones should be affected.
Submitted by Dennis on 26. April 2023 - 16:02
What about Nitrophone 1? Have you tested it? The underlying Pixel 4a uses a Qualcomm-SOC.
Submitted by meissner on 27. April 2023 - 23:02
There has been an update with the origin of the request - Nitrophone 1 is not affected to our best knowledge GrapheneOS does provide own (server) sources for A-GPS almanac connections - thus none of the Nitrophones should be affected.
Submitted by jeff on 26. April 2023 - 19:48
I checked on a OnePlus 6 with default LineageOS (with microG) and I can also track the call to Izat On another one where I had updated it for using GrapheneOS SUPL I don't have any trace of it
Submitted by Volker on 27. April 2023 - 6:50
Greet Job! I use a degoogled phone with a mediatek chipset and the only thing I am wondering about is, whether it does the same. I will forward this research to the IT security departement of the company I am working for. Any foreign party could use this feature to generate a "heatmap" of our employees tracking, where the hotspot of activities are. More concerning is, that companies portals require Google's Android or Apple iPhones, if you want to connect your phone for specific services to them. My degoogled phone, for instance, is blocked ...
Submitted by tomka on 27. April 2023 - 8:48
Ab Pixel 6... verwendet Google den Tensor-Chip. Sind als vorhergehende Modelle wie das Pixel 5 mit GrapheneOS auch von dem Leak betroffen?
Submitted by meissner on 27. April 2023 - 23:04
Nein. (PSDS wird von GrapheneOS realisiert und iZat wird in GrapheneOS nicht verwendet.)
Submitted by Anonymous on 27. April 2023 - 9:24
You did not do yourself a favor with this one. blog.brixit.nl/nitrokey-dissapoints-me/

Pages

Add new comment

Fill in the blank.