Qualcomm-Chip senden heimlich private Informationen.

Na ist das wieder herrlich...
Schauen wir mal, ob es auch von anderen Quellen bestätigt und nicht nur einfach abgeschrieben wird.
 
Zumindest WWAN-Karten aus dem Hause sind in einigen ThinkPad-Serien verbaut. Wer weiß...
Was nicht angesprochen wurde: Lenovo hat auch Smartphones auf dem Markt, die mit dem Qualcomm Snapdragon Prozessor ausgestattet sind.
 
martina schrieb:
Welches ThinkPad hat Qualcom-CPU, -Chipsatz und -Firmware?
Zum Vergrößern anklicken....
Das spielt keine Rolle.
Praktisch alle heute eingesetzte Hardware benutzt proprietäre Soft- oder Firmware. Das gilt sowohl für SoCs in Smartphones als auch für x86-Computer. (Nicht nur) In Thinkpads arbeiten WLAN-Chips, CPUs und IGPs mit proprietärer Firmware, teils Grafikchips mit proprietären Treibern, unter all dem ein proprietäres BIOS und wiederum darunter ein proprietärer Microcontroller (Intel ME, AMD PSP).

Jede dieser Komponenten entzieht sich der Kontrolle des Nutzers und kann prinzipiell alle vorbeilaufenden Daten an wen auch immer schicken.
Das Interessante an dem von @mcb verlinkten Artkel ist eigentlich nur, dass sich hier mal jemand die Mühe gemacht hat, auf den ersten Blick unerklärlichem Traffic nachzugehen. Ich würde vermuten, das macht nicht der SoC (die HW) selbst, sondern die auf ihm laufende Firmware.
Das Gleiche kann dir prinzipiell auch auf jedem anderen Smartphone-SoC oder auf deinem Thinkpad passieren. Nur spielt das für die meisten User eine untergeordnete Rolle, weil sie auf ihrer Hardware mit zweifelhafter, weil proprietärer Firmware oft ein Betriebssystem mit noch viel mehr proprietären (und damit unkontrollierbaren) und auch teils offen datenschutzfeindlichen Komponenten betreiben. Kümmern tut's die Meisten nicht.
 
Das ganze lässt sich dann nur mit übergestülptem Aluhut verhindern, oder?
 
Ich habe mir mal den Artikel durchgelesen, und mir ist aufgefallen, daß dort viel vermutet und behauptet wird, aber wenig Konkretes über den tatsächlichen Netzwerkverkehr geschrieben wird.
Der Autor nimmt an, daß private Daten übertragen werden, weil sich Qualcomm in den Nutzungsbedingungen des Dienstes dieses Recht vorbehält. Es steht aber nirgendwo im Artikel, daß der Datenverkehr, der laut Autor unverschlüsselt war, auch tatsächlich daraufhin untersucht wurde, welche Daten übermittelt wurden.

Letztlich ist der Artikel nicht mehr als Werbung für Nitrokey und grapheneOS, die irgendwie, auf magische Art und Weise, alles besser machen.


Bitte nicht falsch verstehen: Daß sich viele Firmen das Recht herausnehmen wollen, alle möglichen Daten zu sammeln, die für den Betrieb ihrer Dienste nicht notwendig sind, finde ich genauso schlecht wie ihr. Aber Solche Artikel wie diesen hier sollte man schon aufmerksam lesen und hinterfragen, warum nur Vermutungen und Annahmen geäußert werden.
 
Ich verstehe das jetzt so: Qualcomm's XTRA ist eine Form von A-GPS. Dass A-GPS Daten überträgt liegt auch in der Natur der Sache. Dass bei der Datenübertragung persönliche Daten übertragen werden, lässt sich dabei schwer verhindern (z.B. Absender-IP) und dass dabei auch z.B. hardwarespezifische Daten übertragen werden, lässt sich vielleicht aufgrund der Technik auch nicht vermeiden (passende A-GPS-Daten zum installierten Chipsatz).
Was dann noch an unnötigen Daten bleiben würde, sind "Typ des Betriebssystems und Version" und "Liste der Software auf dem Gerät". Wenn man sich dazu das englische Original anschaut, ist aber schon mal die Frage, ob mit dem "Betriebssystem" und der "Version" überhaupt die des Smartphones gemeint ist - oder die des GPS-Chips. Von der "Liste der Software auf dem Gerät" kann ich im englischen Original sogar gar nichts finden. Da ist nur die Rede von "software build data", was natürlich etwas ganz anderes ist.

Also alles viel heiße Luft um nix?

Und zu guter Letzt wäre noch die Frage, ob diese Daten eigentlich noch übertragen werden, wenn man A-GPS ausschaltet? Die Antwort bleibt der Artikel schuldig.
 
moronoxyd schrieb:
Ich habe mir mal den Artikel durchgelesen, und mir ist aufgefallen, daß dort viel vermutet und behauptet wird, aber wenig Konkretes über den tatsächlichen Netzwerkverkehr geschrieben wird.
Zum Vergrößern anklicken....
Das ist halt das Problem bei proprietärer Firm-, Soft- und auch Hardware:
Du kannst nicht abschließend überprüfen, was sie tatsächlich tut. Der problematische Code könnte z.B. hinter einer if-Verzweigung stecken, die nur an einem Freitag den 13. in einem Schaltjahr bei Vollmond aktiv wird.

moronoxyd schrieb:
Letztlich ist der Artikel nicht mehr als Werbung für Nitrokey und grapheneOS, die irgendwie, auf magische Art und Weise, alles besser machen.
Zum Vergrößern anklicken....
Der Artikel ist auch Werbung, aber das grundlegende Problem ist real. Wie gesagt, die Leistung hinter dieser Untersuchung ist, das Problem an einem Beispiel verdeutlicht zu haben.
Dass der Artikel dazu genutzt wird um Schlangenöl zu verkaufen, welches das geschilderte Problem nicht mal im Ansatz adressieren kann, ändert daran nichts.

moronoxyd schrieb:
Bitte nicht falsch verstehen: Daß sich viele Firmen das Recht herausnehmen wollen, alle möglichen Daten zu sammeln, die für den Betrieb ihrer Dienste nicht notwendig sind, finde ich genauso schlecht wie ihr.
Zum Vergrößern anklicken....
Was dich aber nicht daran hindert, trotzdem diese Produkte zu benutzen. Versteh mich nicht falsch, auch ich nutze sie ja, aber die Debatte wird scheinheilig, wenn wir immer nur auf die bösen, bösen Hersteller zeigen, ohne uns mit unserem Nutzungsverhalten selbst an die Nase zu fassen.

Ich behaupte, meine Nutzung proprietärer Firm- und Software auf das Minimum dessen beschränkt zu haben, das mir ohne signifikante Einschränkung meiner Lebensqualität möglich ist. Und vielleicht hast du das ebenfalls getan. Jeder hat da auch eine andere Komfortschwelle.
Aber die meisten Menschen denken nicht mal darüber nach. Und das ist ein Problem. Daher sind solche Artikel wie dieser hier durchaus wertvoll, auch wenn der Autor zweifelhafte Motive haben mag. Das eigentliche Problem an diesem Artikel ist, dass er die Menschen die er erreichen müsste gar nicht erreichen kann, weder medial, noch kognitiv.
 
hikaru schrieb:
Das ist halt das Problem bei proprietärer Firm-, Soft- und auch Hardware:
Du kannst nicht abschließend überprüfen, was sie tatsächlich tut.
Zum Vergrößern anklicken....
Richtig. Aber man könnte sich den unverschlüsselten Datenverkehr mal ansehen, ob man ihm entnehmen kann, welche Daten tatsächlich übertragen werden.
Von einem "unabhängige[n] Sicherheitsforscher", was der Autor laut Artikel sein will, erwarte ich eigentlich dieses Mindestmaß an Arbeit. So geht er nur danach, was er in den AGB von Qualcomm gelesen hat bzw. gelesen zu haben glaubt (siehe Beitrag von cuco).
Ob diese Daten wirklich fließen, oder mehr, oder weniger, wissen wir nicht.
 
moronoxyd schrieb:
Aber man könnte sich den unverschlüsselten Datenverkehr mal ansehen, ob man ihm entnehmen kann, welche Daten tatsächlich übertragen werden.
Zum Vergrößern anklicken....
Ja. Aber dann hast du trotzdem nur eine Momentaufnahme. Was tatsächlich übertragen wird, kann schon morgen oder in zwei Minuten ganz anders aussehen. Du weißt es eben nicht, denn du kannst nicht in den Code schauen um zu prüfen, unter welchen Umständen sich das System wie verhält.

moronoxyd schrieb:
So geht er nur danach, was er in den AGB von Qualcomm gelesen hat bzw. gelesen zu haben glaubt (siehe Beitrag von cuco).
Zum Vergrößern anklicken....
Ein Blick in die AGB ersetzt natürlich keinen Audit, aber als ersten Anhaltspunkt finde ich das eine sinnvolle Maßnahme um die Intentionen abzuschätzen. Warum sonst sollte sich ein Anbieter mit weitreichend auslegbaren, schwammigen AGBs umfangreiche Rechte reservieren, wenn er nicht zumindest in Erwägung zieht, sie im maximal möglichen Umfang zu nutzen?
 
Ich habe den Artikel so verstanden daß:

Code: 
Daten:

Eindeutige ID
Name des Chipsatzes
Seriennummer des Chipsatzes
Version der XTRA-Software
Ländercode des Mobiltelefons
Code des Mobilfunknetzes (zur Identifizierung des Landes und des Mobilfunkbetreibers)
Typ des Betriebssystems und Version
Gerätemarke und -modell
Zeit seit dem letzten Start des Anwendungsprozessors und des Modems
Liste der Software auf dem Gerät
IP-Adresse

Unverschlüsselt übertragen werden, auch wenn GPS aus ist, wahrscheinlich immer. Insgesamt völlig daneben.

Ja Werbung für Grapene, obwohl die brauchen das nicht.
Beitrag automatisch zusammengeführt:

gerli09 schrieb:
Das ganze lässt sich dann nur mit übergestülptem Aluhut verhindern, oder?
Zum Vergrößern anklicken....
Jo Phone in die Alukiste. ;)
 
Diese ganze illegitime Abhörerei und Schnüffelei dürfte sich doch relativ leicht überlisten lassen, indem eine App, die wir (die Guten) uns herunterladen, ständig bzw. vorprogrammiert immer die gleichen Seitenabrufe erledigt, millionenfach durchexerciert müsste es doch die anderen erschnüffelten Daten "einnebeln" und letztlich verwirren bzw. unnütz werden lassen, oder?
 
der zu Beginn verlinkte Artikel spricht von dem SoC im Sony Xperia XA2 und Smartphones mit gleichem Chip, das sollte der Snapdragon 630 sein.
Ich denke bewusst schreibt der Artikel dies nicht rein.
Muss natürlich nicht heißen, dass andere SoCs "clean" sind.

was wird passieren?
nix, weil es eigentlich keinen interessiert.

also kaufe ich demnächst ein zu teueres iPhone, weil Apple ja die Privatsphäre so heilig ist ... oder moment, ist das nur wengen closed source nicht nachprüfbar? 😵‍💫

Der Artikel gepostet auf der Seite des Herstellers/Vertreibers vom Nitrokey-Phone, welches natürlich immun ist...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben