Smartphones mit verbreitetem Qualcomm-Chip senden heimlich private Informationen an US-Chiphersteller

Zusammenfassung

Bei unserer Sicherheitsanalyse haben wir festgestellt, dass Smartphones mit Qualcomm-Chip heimlich persönliche Daten an Qualcomm senden. Diese Daten werden ohne Zustimmung des Nutzers und unverschlüsselt gesendet, selbst wenn eine Google-freie Android-Distribution verwendet wird. Dies ist möglich, weil die proprietäre Software von Qualcomm, die die Hardware unterstützt, auch die Daten sendet. Betroffen sind Smartphones wie das Sony Xperia XA2 und wahrscheinlich das Fairphone und viele andere Android-Handys, die weit verbreitete Qualcomm-Chips verwenden.

 

Einleitung

Das Smartphone ist ein Gerät, dem wir praktisch alle unsere Geheimnisse anvertrauen. Schließlich ist es das allgegenwärtigste Gerät, das wir 24 Stunden am Tag bei uns tragen. Sowohl Apple als auch Android mit ihrem App Store und Google Play Store spionieren ihre zahlenden Kunden aus. Als datenschutzfreundlichere Alternative installieren einige technikaffine Menschen eine Google-freie Version von Android auf ihrem normalen Smartphone. Als Beispiel haben wir ein solches Setup mit einem Sony Xperia XA2 analysiert und festgestellt, dass dies möglicherweise keinen ausreichenden Schutz bietet, da proprietäre Herstellersoftware, die sich vom (quelloffenen) Betriebssystem unterscheidet, private Informationen an den Chiphersteller Qualcomm sendet. Diese Erkenntnis gilt auch für andere Smartphones mit einem Qualcomm-Chip wie dem Fairphone.

Was ist ein entgoogeltes Android-Handy?

Ein Google-freies Android-Handy ist ein Gerät, das so verändert wurde, dass es keine proprietären Anwendungen oder Dienste von Google enthält. Dazu wird in der Regel eine spezielle ROM installiert, das die Standard-Android-Software durch ein Open-Source-Android ersetzt, welches keine Google-Apps enthält. Sie können ein solches Android entweder selber installieren oder ein Telefon kaufen, bei dem dies bereits für Sie erledigt ist (z. B. NitroPhone).

Die Überwachungs- und Verfolgungswerkzeuge von Google sind allgegenwärtig, aber das meiste "Böse" befindet sich in den Google Play Services, die closed-source sind. Millionen von Codezeilen, die u. a. dazu dienen, Ihre Umgebung ständig nach Bluetooth- und WiFi-Geräten zu scannen, WiFi-Signal-Triangulation zu nutzen und dann die sichtbaren WiFi-Antennen mit der Google-Datenbank aller geografischen Standorte aller WiFi-Zugangspunkte abzugleichen, die sie sammeln, um Ihren genauen Standort jederzeit zu kennen. Das alles funktioniert, ohne dass eine Verbindung zu den erkannten WiFi-Netzwerken hergestellt werden muss, und sogar, wenn Ihr GPS ausgeschaltet ist. Diese Methode ähnelt der Art und Weise wie die CIA in den 1990er Jahren Pablo Escobar aufspürte, und wird jetzt in großem Maßstab eingesetzt, um jeden Bürger rund um den Globus zu verfolgen.

Sample of wireless access point geolocation database www.wigle.net

Beispiel für die Geolokalisierungsdatenbank für drahtlose Zugangspunkte www.wigle.net

Um das allmächtige Google und Apple und seine 24-Stunden-Überwachungstools loszuwerden, besteht eine Möglichkeit darin, ein entgoogeltes Android-Handy zu verwenden. Ihr entgoogeltes Telefon verfügt dann nicht über die Google Play Services und den Google Play Store sondern verwendet stattdessen eine alternative Open-Source-Store-App, die die gleichen Apps anbietet. Sie können die Verwendung eines Stores auch ganz vermeiden, indem Sie Ihre Apps (mit der Dateierweiterung APK) direkt von der Website des Softwareanbieters herunterladen. Das ist genauso, wie wenn Sie ein Programm herunterladen, um es auf Ihrem PC zu installieren.

Analysieren eines entgoogelten Telefons

Sony Xperia XA2

In diesem Test haben wir uns entschieden, /e/OS auszuprobieren, eine Google-freie Open-Source-Version von Android, bei der der Datenschutz im Vordergrund steht und die Ihnen die Kontrolle über Ihre Daten geben soll. /e/OS behauptet, dass es Sie nicht verfolgt und Ihre Daten nicht verkauft. Das wollen wir herausfinden.

Wir haben /e/OS auf einem Sony Xperia XA2 Smartphone installiert. Nach der Installation startet das Telefon mit dem /e/OS-Einrichtungsassistenten. Es fordert uns auf, den GPS-Ortungsdienst zu aktivieren, aber wir haben ihn absichtlich ausgeschaltet, weil wir ihn jetzt nicht brauchen.

Wir haben auch keine SIM-Karte in das Telefon eingelegt, damit es nur Daten über das WIFI-Netzwerk senden und empfangen kann, das wir mit Wireshark überwachen. Wireshark ist ein professionelles Software-Tool, mit dem wir den gesamten Datenverkehr, der über das Netzwerk gesendet wird, überwachen und analysieren können.

Nachdem wir unser WiFi-Passwort im Einrichtungsassistenten eingegeben hatten, wies der Router unserem /e/OS Google-freien-Telefon eine lokale IP-Adresse zu und es begann, Datenverkehr zu erzeugen.

Wir sehen die ersten DNS-Anfragen:

[2022-05-12 22:36:34]    android.clients.google.com
[2022-05-12 22:36:34]    connectivity.ecloud.global

Überraschenderweise ist die erste Verbindung des Google-freien Telefons zu google.com. Laut Google dient der Host android.clients.google.com dem Google Play Store für die regelmäßige Geräteregistrierung, den Standort, die Suche nach Apps und viele andere Funktionen. Das ist seltsam, denn wir haben ein entgoogeltes Telefon ohne den Google Play Store. Später fanden wir heraus, dass diese Anfrage von microG stammt, einer Open-Source-Neuimplementierung der proprietären Kernbibliotheken und Anwendungen von Google.

Dann verbindet es sich mit connectivity.ecloud.global, das laut /e/OS den Google-Server connectivitycheck.gstatic.com von Android ersetzt.

Zwei Sekunden später fing das Telefon an, zu kommunizieren:

[2022-05-12 22:36:36]    izatcloud.net
[2022-05-12 22:36:37]    izatcloud.net

Es ist uns kein Unternehmen oder Dienst mit dem Namen izatcloud.net bekannt. Deshalb haben wir das Impressum und die Datenschutzbestimmungen von /e/OS durchsucht, aber keinen Hinweis auf die gemeinsame Nutzung von Daten mit der Izat Cloud gefunden. In der /e/OS-Datenschutzerklärung heißt es eindeutig: "Wir geben keine individuellen Informationen an andere weiter". Wir haben dann den /e/OS-Quellcode durchsucht, den sie auf Gitlab zur Verfügung stellen, und wir konnten keine Hinweise auf die Izat Cloud finden.

Eine schnelle WHOIS-Abfrage zeigt uns, dass die Domäne izatcloud.net einem Unternehmen namens Qualcomm Technologies, Inc. gehört. Das ist interessant. Qualcomm-Chips werden derzeit in ca. 30% aller Android-Geräte verwendet, darunter Samsung- und auch Apple-Smartphones. Unser Testgerät für die /e/OS deGoogled Version von Android ist ein Sony Xperia XA2 mit einem Qualcomm Snapdragon 630 Prozessor. Da haben wir also eine Spur.

Spioniert Qualcomm uns aus?

Bei näherer Betrachtung können wir feststellen, dass die Pakete über das HTTP-Protokoll gesendet werden und nicht mit HTTPS, SSL oder TLS verschlüsselt sind. Das bedeutet, dass jeder andere im Netzwerk, einschließlich Hackern, Regierungsbehörden, Netzwerkadministratoren, Telekommunikationsbetreiber im In- und Ausland, uns leicht ausspionieren können, indem sie diese Daten sammeln, sie speichern und eine Aufzeichnungshistorie mit der eindeutigen ID und Seriennummer des Telefons erstellen, die Qualcomm an seine geheimnisvoll genannte Izat Cloud sendet.

Die Weitergabe von Daten an Qualcomm wird weder in den Nutzungsbedingungen von Sony (dem Gerätehersteller) noch von Android oder /e/OS erwähnt. Qualcomm tut dies ohne die Zustimmung der Nutzer.

Wir sind der Meinung, dass es gegen die Allgemeine Datenschutz-Grundverordnung (DSGVO) verstößt, wenn Nutzerdaten ohne ihre Zustimmung gesammelt werden, und haben den Rechtsabteilung von Qualcomm in dieser Angelegenheit kontaktiert. Einige Tage später antworteten sie und teilten uns mit, dass diese Datenerfassung im Einklang mit der Datenschutzrichtlinie von Qualcomm Xtra steht, und gaben uns einen Link zu ihrer Datenschutzrichtlinie für den XTRA-Dienst. Es hat also den Anschein, dass diese Izat Cloud, von der wir noch nie gehört haben, Teil des XTRA-Dienstes ist, von dem wir ebenfalls noch nie gehört haben. Wir haben den Eindruck, dass Qualcomm die Dinge gerne geheimnisvoll hält, daher der Name Izat Cloud und der XTRA-Dienst.

Unter dem Link, den Qualcomm uns geschickt hat, heißt es in der Datenschutzrichtlinie des XTRA-Dienstes:

“Through these software applications, we may collect location data, unique identifiers (such as a chipset serial number or international subscriber ID), data about the applications installed and/or running on the device, configuration data such as the make, model, and wireless carrier, the operating system and version data, software build data, and data about the performance of the device such as performance of the chipset, battery use, and thermal data.

We may also obtain personal data from third party sources such as data brokers, social networks, other partners, or public sources.”

Die IP-Adresse wird nicht erwähnt, aber wir gehen davon aus, dass sie ebenfalls erfasst wird. Nach Abschluss unserer Nachforschungen haben sie die Datenschutzbestimmungen aktualisiert und hinzugefügt, dass sie auch die IP-Adresse des Gerätes erfassen. Außerdem wurde die Information hinzugefügt, dass diese Daten für 90 Tage zu "Qualitätszwecken" gespeichert werden.

Zur Verdeutlichung hier eine Liste der Daten, die Qualcomm laut ihrer Datenschutzrichtlinie von Ihrem Telefon erfassen kann:

  1. Eindeutige ID
  2. Name des Chipsatzes
  3. Seriennummer des Chipsatzes
  4. Version der XTRA-Software
  5. Ländercode des Mobiltelefons
  6. Code des Mobilfunknetzes (zur Identifizierung des Landes und des Mobilfunkbetreibers)
  7. Typ des Betriebssystems und Version
  8. Gerätemarke und -modell
  9. Zeit seit dem letzten Start des Anwendungsprozessors und des Modems
  10. Liste der Software auf dem Gerät
  11. IP-Adresse

Bei näherer Betrachtung stellt sich heraus, dass der "XTRA Service" von Qualcomm Assisted GPS (A-GPS) bereitstellt wird und dazu beiträgt, einem mobilen Gerät genaue Satellitenpositionen zu liefern.

Was ist Assisted GPS (A-GPS), und warum brauche ich es?

GPS wurde ursprünglich ausschließlich für militärische Zwecke entwickelt, um Flugzeuge, Personal und Bomben zu steuern. Die Empfänger wurden in der Regel in offenen Regionen mit Sichtverbindung zu den Satelliten verwendet. Seitdem GPS jedoch auch für die kommerzielle Nutzung verfügbar ist, haben neue Anwendungen die Anforderungen an das System erhöht.

Diese neuen Anwendungen erforderten, dass die GPS-Signale Hindernisse wie Bäume und Dächer durchdringen. So entstand die "assisted GPS"- oder A-GPS-Lösung. Mit A-GPS lädt das Telefon verschiedene Dateien herunter, die die Umlaufbahnen und den Status von Satelliten mit den ungefähren GPS-Satellitenpositionen für die nächsten 7 Tage enthalten, um den Standort des Telefons schnell bestimmen zu können.

Proprietäre Gerätetreiber sind problematisch

Der größte Teil von Android wird als Open Source veröffentlicht und kann daher auf mögliche Sicherheits- und Datenschutzprobleme hin untersucht werden. In der Regel fügen die Smartphone-Hersteller jedoch zusätzliche proprietäre Software wie Gerätetreiber, Firmware-Blobs, Systemdienste und Apps hinzu. Die Apps sind für den Benutzer direkt sichtbar und können das System so stark verändern, dass es an einen PC aus den 90er Jahren erinnert, der mit Windows 95 und einer Menge so genannter Bloatware ausgeliefert wurde.

Natürlich benötigen auch die Google-freien Android-Distributionen Gerätetreiber, um eine bestimmte Hardware zu unterstützen. Bei diesen Treibern handelt es sich in der Regel um proprietäre Software, die vom Betriebssystem ausgeführt wird und nicht nur die erforderliche Hardwareunterstützung bietet, sondern auch unerwünschtes Verhalten zeigen kann. Dies hat zur Folge, dass wir selbst bei einem degegoogelten Gerät immer noch keine vollständige Kontrolle über unsere Privatsphäre und die Weitergabe personenbezogener Daten (PII) haben, da die Software des Herstellers, die unsere privaten Daten weitergibt, closed-source ist.

Aus diesem Grund setzt Nitrokey generell auf Open Source, was für ein sicheres System unumgänglich ist. Open-Source-Software (und -Hardware) ist die einzige Möglichkeit, das Verhalten eines Systems zu überprüfen und seine Sicherheit zu gewährleisten.

Sind auch andere Smartphones betroffen?

Eine weitere beliebte Option, die häufig wegen ihrer Privatsphäre gewählt wird, ist das Fairphone. Das niederländische Unternehmen stellt hervorragende Telefone her, bei denen die Nutzer das Telefon selbst warten und Teile austauschen können, wenn sie kaputt sind. Trotz seines Rufs, die Privatsphäre der Nutzer zu schützen, enthalten alle Fairphone-Modelle einen Qualcomm-Chip, der wahrscheinlich Qualcomm Software ausführt. Das Fairphone hat daher das gleiche Problem mit der Weitergabe von persönlichen Daten an den Qualcomm XTRA Service. Obwohl nicht getestet, vermuten wir, dass die gleichen Datenschutzprobleme auch bei vielen anderen Smartphone-Marken auftreten, die Qualcomm-Prozessoren verwenden, einschließlich so genannter verschlüsselter Telefone oder Krypto-Telefone.

NitroPhone ist sicher

NitroPhone 3 ProDas NitroPhone von Nitrokey enthält nicht den Qualcomm-Chipsatz, und unsere Tests bestätigen, dass bei ausgeschaltetem GPS keine A-GPS-Anfragen gestellt werden. Wenn GPS eingeschaltet ist, um zu verhindern, dass Google Ihre IP-Adresse erhält und speichert, kontaktiert das GrapheneOS des NitroPhone die A-GPS-Dateien von google.psds.grapheneos.org, einem Proxy-Server, der von GrapheneOS zum Schutz der Privatsphäre der Nutzer bereitgestellt wird. Im Gegensatz zu Qualcomm gibt GrapheneOS keine persönlichen Daten an die GrapheneOS-Proxyserver und auch nicht an Google oder Qualcomm weiter.

Darüber hinaus ermöglicht GrapheneOS die Deaktivierung der Funktion zur Abfrage von A-GPS-Dateien (Opt-Out) oder, wenn Sie es vorziehen, die Verwendung der Standard-Server agnss.goog von Android. Im Moment unterstützen weder /e/OS, Lineage oder Sailfish OS noch irgendein anderes Telefon, das wir finden konnten, diese Funktion oder bieten dieses Maß an Freiheit.

Fazit

Qualcomms proprietäre Software lädt nicht nur einige Dateien auf unser Telefon herunter, um die GPS-Ortung zu beschleunigen, sondern lädt auch unsere persönlichen Daten hoch, z. B. die eindeutige ID des Geräts, unseren Ländercode (in diesem Fall Deutschland), den Code unseres Mobilfunkbetreibers (der die Identifizierung des Landes und des Mobilfunkbetreibers ermöglicht), unser Betriebssystem und dessen Version sowie eine Liste der Software auf dem Gerät. Auf diese Weise wird eine völlig eindeutige Signatur von uns erstellt, die eine Verhaltensverfolgung (Tracking) ermöglicht und die Privatsphäre des Nutzers erheblich einschränkt. Ganz gleich, ob wir GPS ausgeschaltet haben oder nicht.

Die Tatsache, dass Qualcomm eine große Menge sensibler Daten sammelt und sie über das unsichere und veraltete HTTP-Protokoll überträgt, zeigt uns, dass dem Unternehmen die Privatsphäre und die Sicherheit der Nutzer egal sind. Man muss nicht über eine Zusammenarbeit von Qualcomm mit verschiedenen staatlichen Spionageagenturen spekulieren, sondern es schafft auch ein Risiko, wenn der Datenverkehr möglicherweise auch von Diktatoren und anderen unterdrückerischen Regierungen abgefangen wird, die nicht einmal eine Zusammenarbeit mit Qualcomm benötigen. Nicht nur Drohnen nutzen häufig Standortinformationen, um Menschen ins Visier zu nehmen. Es gibt Fälle, in denen die Entführung und/oder Ermordung von Menschen durch die Nutzung der Standortdaten der Opfer erleichtert wurde. Ein aktuelles Beispiel ist der Iran, wo Demonstranten aufgrund der Ortung ihres Smartphones verhaftet wurden. Dazu muss das Telefon nicht einmal angezapft werden. Der Klartextverkehr ist auch ein Tummelplatz für Datenbroker, die die Daten der Menschen verkaufen (z.B. Einkaufszentren).

Betroffene Nutzer könnten versuchen, den Qualcomm XTRA Service mit einem DNS-over-TLS Cloud-basierten Blockierdienst zu blockieren oder diesen Datenverkehr selbst zum Proxy-Server von GrapheneOS umzuleiten, aber das erfordert technisches Know-how und bietet nicht das gleiche Maß an Sicherheit wie das NitroPhone.
 

Aktualisierung 6.5.2023
GrapheneOS hat den zweiten und letzten Teil der Behebung dieses Problems für die Qualcomm-Geräte veröffentlicht.

Aktualisierung, 2.5.2023

Wir veröffentlichten diesen Artikel am 25.4.2023 woraufhin er in sozialen Medien (insb. Mastodon) heftig diskutiert wurde. Neben Interesse und Lob wurde er auch kritisiert. Einige dieser Kritik war berechtigt aber ebenso gab es unberechtigte Kritik und Missverständnisse. Daher hier eine Übersicht der Geschehnisse und unsere Stellungnahme zu der Kritik:

Am gleichen Tag reagierte GrapheneOS mit einer technischen Kritik. Deren Stellungnahme beginnt jedoch mit einer Kritik des Reddit Posts "German security company Nitrokey proves that Qualcomm chips have a backdoor and are phoning home" und nicht unseres Artikels:

NitroKey did not discover a backdoor. [...] The title used for the post here is editorialized and doesn't match what the article actually states. This is not a backdoor.

GrapheneOS bezieht sich hiermit auf den Reddit Beitrag, der von einer angeblich gefundenen "Backdoor" schrieb und nicht auf unseren Artikel. In unserem Artikel ist nämlich nicht von einer Backdoor die Rede sondern der Titel des Reddit Posts (der nicht von uns stammt) ist falsch. Offensichtlich haben dies viele Menschen (z.B. auf Mastodon) missverstanden.

The post is very sensationalized and it's unfortunate they didn't run this by us first.

Sie haben Recht, und wir werden aus diesem Fehler lernen und in Zukunft für qualitativ bessere Veröffentlichungen sorgen.

Darüber hinaus äußerte GrapheneOS berechtigte Kritik an unserem Artikel, in dem fälschlicherweise angenommen wurde, dass die kritisierte Funktionalität in der Firmware des Chips ausgeführt wird. Stattdessen wird diese Funktion im Xtra Daemon im User Space ausgeführt. Dies haben wir am 27.4. im Artikel korrigiert. Desweiteren haben wir an dem Tag korrigiert, dass microG für den Aufruf von android.clients.google.com verantwortlich ist.

Ebenfalls am 25.4. reagierte Martijn Braam mit einer Kritik. U.a. kritisierte er, dass der Artikel zu reißerisch sei. Aus Sicht eines IT-Experten, für den die beschriebenen Sachverhalte seit langem bekannt sind, mag dies so wahrgenommen werden. Allerdings richtet sich dieser Artikel auch an nicht-Experten. Und ja, um ein technisch anspruchsvolles Thema weit zu kommunizieren muss man es mitunter auf einen Punkt zusammen fassen.

There's no claims being made by NitroKey that their phone doesn't provide any of this [Cell network, WiFi and network geolocation].

Auch wenn dies weniger eine Kritik, hier eine Klarstellung: NitroPhones (bzw. GrapheneOS) verwendet keine solchen Geolokalisierungsdienste.

This system does not actually send any of your private information like the title of the article claims.

Hier sind wir anderer Meinung und dies ist der Kernpunkt unseres Artikels. Dieses Problem wurde bereits bei Fairphone festgestellt.

This feature is not breaking laws, it's not unethical, it's not even made for eeeevill.

Wir bleiben bei unserer Überzeugung, dass das Sammeln von Geräte-IDs und IP-Adressen ohne die Zustimmung des Nutzers weder als legitim noch als ethisch vertretbar angesehen werden kann. Was den Verstoß gegen das Gesetz angeht, haben uns mehrere Gerichtsurteile zu dem berechtigten Zweifel veranlasst, dass Qualcomm mit dieser Datenerfassung gegen die DSGVO verstößt, aber da wir keine Juristen sind, haben wir dies Noyb gemeldet, einer gemeinnützigen Organisation, die sich für die rechtliche Durchsetzung der europäischen Datenschutzgesetze einsetzt.

Am 26.4 bzw. 27.4. veröffentlichte The Register und Computer Base eine Stellungsnahme Qualcomms und eine Analyse unseres Artikels. [7] Leider fokussieren sich diese Berichte auf den oben erwähnten und bereits korrigierten Fehler in unserem Artikel. Gleichzeitig bestätigen sie, dass die Geräte-ID und IP Adresse sowie weitere persönliche Informationen an den Hersteller übertragen werden.

Qualcomm spielt dies herunter und widerspricht sich dabei selber:

[...] the relevant Qualcomm technologies use non-personal, anonymized, technical data to enable device manufacturers to provide their customers location-based apps and services [...]

Leider stellt Computer Base die Notwendigkeit der Datenübermittlung nicht in Frage, stimmt uns aber in folgendem Punkt zu:

Verschlüsselte Verbindung wäre angebracht

The Register bewertet das Risiko wie folgt:

Mobile device data transmissions may pose a problem in high-risk environments because network identifiers such as IP addresses can be considered personal data, particularly when paired with hardware identifiers or other sorts of data.

Und ebenfalls bestätigte am 27.4. GrapheneOS:

NitroKey is correct that xtra-daemon has support for sending information on the device including device model, serial number, etc. They're also correct that the user is never asked about it. [3]

Am 28.4. legte ein DDoS Angriff unsere Webseite für 20 Stunden lahm. Wir nehmen an von jemandem, der unseren Artikel nicht mochte. Schade, dass sich Menschen häufig nur auf Grund von Überschriften oder Halbwahrheiten eine Meinung bilden und dies solche Folgen haben kann.

Am 29.4. fasste GrapheneOS zusammen:

We weren't trying to say that anything was wrong with NitroKey's product only that their post has been corrected and the issue they talk about is real, but they got some important details wrong. We think the post needs some more changes and it's unfortunate that their coverage of a real issue got derailed by them making some mistakes about the details and over-sensationalizing it.

Am 30.4. veröffentlichte GrapheneOS eine Softwareaktualisierung, die das von uns aufgezeigte Datenschutzproblem für GrapheneOS teilweise behebt.

Leider ist die Kernaussage unseres Artikels in der ganzen Diskussion etwas in den Hintergrund gedrenkt worden. Wir stehen zu der Aussage unseres Artikels, dass Qualcomm unberechtigter und unnötiger Weise private Informationen der Nutzer sammelt.

Aktualisierung, 27.4.2023
Der Text wurde dahingehend korrigiert, dass die verantwortliche Software nicht als Firmware sondern im Betriebssystem ausgeführt wird. Auch Anfragen an android.clients.google.com stammen von microG.

Autor
Paul Privacy ist ein unabhängiger Sicherheitsforscher, der sich auf den Schutz der Privatsphäre konzentriert und anderen hilft, die Privatsphäre auf ihren Telefonen und Computern zu schützen. Denn Privatsphäre ist cool. Und ausspioniert zu werden ist NICHT cool. Sei privat. Sei cool. Für eine kostenlose Beratung können Sie mich kontaktieren unter: [email protected] oder folgen Sie mir auf Twitter unter @PaulPrivacyCool

 

8.5.2023

Comments

Submitted by Goertz on 27. April 2023 - 9:35
I noticed that negative comments about this advertisement aren't published. While I don't consider that as censorship (in the end it is your website) I consider it as not wise as there will be talked about that behaviour at other places. Don't you agree?
Submitted by meissner on 27. April 2023 - 23:08
We usually publish all comments - as long as the wording is not too aggressive/insulting. It just took some time as we were talking with several parties about the contents, which also led to some updates. So yes, we totally agree to keep things here.
Submitted by Alice on 27. April 2023 - 13:34
I strongly recommend to update your article based on additional information the colleagues of GrapheneOS are giving in the Reddit r/privacy section with the title "German security company Nitrokey proves that Qualcomm chips have a backdoor and are phoning home" (posting links ia not allowed here) Also I wonder why you haven't try to go on izatcloud.net Just reading this for me that feels just like a marketing stunt.
Submitted by meissner on 27. April 2023 - 23:09
Yep, thanks, we've done that based on discussions with them.
Submitted by centurio on 27. April 2023 - 21:33
Nice Paul! Well done and good written.
Submitted by Alfredo on 28. April 2023 - 0:03
Hi, I read your article and these two answers: blog.brixit.nl/nitrokey-dissapoints-me/ and /e/OS community.e.foundation/t/qualcomm-chipsets-data-collection-linked-to-the-a-gps-service-in-e-os/48982. I think you should correct your article. Best Regards
Submitted by meissner on 28. April 2023 - 0:30
hey, thanks for reaching out, we already had discussions with various parties about this and updated the article accordingly.
Submitted by Muhammad on 28. April 2023 - 1:20
Can you please check if these connections also happen in CalyxOS running MicroG on Qualcomm chip phones like Pixel 5 and older? Thanks.
Submitted by Friendly on 28. April 2023 - 6:02
can you check if other ARM based phone CPU, like MediaTeks, behave like this?
Submitted by Jan Suhr on 28. April 2023 - 10:04
We don't have the capacity for a analysis of other phones.
Submitted by Bliss on 2. Mai 2023 - 20:27
The IZat cloud stuff is optional on QC devices and most don't use it. Qualcomm provides the service for devices which don't use GMS or where GMS is unavailable. They do recommend that OEMs enable the EULA click-thru (the default behavior), but it can also be disabled (consent assumed). This isn't a privacy or data leak.
Submitted by Jackalope on 29. Februar 2024 - 18:01
How can this be considered "optional" and not a privacy leak? I was never presented with any EULA regarding any of that data collection, and I thought my de-googled phone was private. I would have never consented to all the stuff mentioned in XTRA's privacy policy. Folks who get these types of phones do so precisely to avoid such nasty practices. I absolutely consider such data gathering an invasion of my privacy.
Submitted by Jackalope on 29. Februar 2024 - 18:14
I should add, my phone is pinging izatcloud.net 3 times every couple minutes, constantly. Even though I am not using (to my knowledge), any services that utilize any sort of global positioning. I use my bare-bones-de-googled phone almost exclusively as an additional camera, since it is not my primary phone. The phone just sits unused on my desk most of the time, with the screen locked. Yet it continues to contact izatcloud all the time. So much for "optional" or "most don't use it".
Submitted by Phil on 3. Mai 2023 - 19:54
thank you, I appreciate the work your doing. we need more people looking into these topics. (this article has been written on a GrapheneOS phone :-).
Submitted by Norman on 4. Mai 2023 - 0:27
So why isn't there a court proceeding against Qualcomm regarding a huge breach of the GDPR already? Why don't they have to fix every baseband firmware which does this kind of privacy breach? It shouldn't be allowed to receive or even store things like the device serial # or the list of apps installed, nor associate this kind of data with an IP address. And in fact it isn't, the user doesn't expect this necessarily, and therefore they should be required to pay huge fines *and* fix every device (even those which run a custom ROM).
Submitted by Odysee on 4. Mai 2023 - 12:13
Who did broke the law? Is it Qualcomm or GrapheneOS or both?
Submitted by Anonymous on 4. Juli 2023 - 12:41
Thank you Paul! In 2017 i bought a Nitrokey to stay current and play with it because i was hooked by the company ethos and goals. I didn't use it much, but proceeded to buy every new version of the Nitrokey to support your cause and I'm very glad i did, because IMO it turned out to be a very nice, usable product without a compromise on security. I also give money to noyb, so I'm glad you are in contact with them. I'm loving it - thanks for being as principled as you are regarding transparency and open source hard and software!
Submitted by CIA-agent No. 102452 on 10. Juli 2023 - 21:26
No backdoor? Who are people try to kid and lie to? That's a whole "backdoor-OS". This XTRA-service runs in a secret OS "AMSS". It's like Intel's ME (even higher level access than the BIOS/UEFI) and it's painfully clear that's the same with qualcomm. Intel's ME runs on the PC's 5 V psu and does not even need the PC to be active. The same here for Qualcomms secret OS. Just another (of the countless) other backdoors for the criminal and spying scum of the likes of NSA/CIA/police etc. Painfully clear since Snowden what is going on. As the Arpanet, ahem, Internet, smartphones were created with the aim to be spying bugs. Thanks Nitrokey to make a change!
Submitted by Cognitive on 18. April 2024 - 5:07
I've never seen a post with this much detail and explanation.

Pages

Add new comment

Fill in the blank.