Standort-Dienst: Qualcomm widerspricht Vorwürfen der Datensammlung
Nitrokey, ein deutscher Anbieter von USB-Stick-Hardware-Schlüsseln sowie angepassten Smartphones ohne Google-Dienste, wirft Qualcomm das ungefragte Sammeln von Standort- und Geräte-Informationen bei bestimmten Chips vor. Qualcomm widerspricht dem Unternehmen und sieht die Motivation des Berichts bei den Nitrokey-Produkten.
In dem Bericht von Nitrokey heißt es, dass im Rahmen einer Analyse festgestellt worden sei, dass „Smartphones mit Qualcomm-Chip heimlich persönliche Daten an Qualcomm“ senden. Diese Daten würden ohne Zustimmung des Nutzers und unverschlüsselt gesendet, selbst wenn eine Google-freie Android-Distribution verwendet wird.
Grundlage dieser Behauptung sind Tests mit einem Sony Xperia XA2 von 2018, das mit Snapdragon 630 läuft. Nitrokey habe feststellen wollen, ob eine Android-Version ohne Google-Dienste eine „datenschutzfreundlichere Alternative“ darstelle. Für die Analyse wurde /e/OS auf dem Xperia XA2 installiert, bei dem es sich laut Anbieter um ein „komplettes, vollständig "entgoogeltes", mobiles Ökosystem“ handelt.
Das Testgerät sei bewusst mit deaktiviertem GPS und ohne SIM-Karte betrieben worden, lediglich Wi-Fi habe man aktiviert, woraufhin DNS-Requests zu Google (android.clients.google.com) und zu connectivity.ecloud.global begonnen hätten. Laut /e/OS soll der Ecloud-Link die Verbindung von Googles Connectivity Check auf connectivitycheck.gstatic.com ersetzen, bei dem ersten DNS-Request zu Google vermutet Nitrokey hingegen, dass /e/OS diesen schlichtweg vergessen habe zu ersetzen.
Kontakt zu Qualcomm auch ohne GPS
Daraufhin folgten Verbindungen zu izatcloud.net, das laut WHOIS-Abfrage zu Qualcomm gehöre. Nitrokey spekuliert, dass, da es sich um ein „entgoogeltes“ Smartphone handele, auch der erste Request zu android.clients.google.com von Qualcomms Firmware ausgelöst wurde. Weitere Nachforschung hätte ergeben, dass Pakete via HTTP und damit unverschlüsselt übertragen werden, darunter die Geräte-ID und Seriennummer. Die Datensammlung werde nicht in Sonys Nutzungsbedingungen, von Android oder von /e/OS erwähnt, ergo erfolge diese laut Nitrokey ohne Zustimmung des Nutzers von Qualcomm. Dies verstoße laut Nitrokey gegen die Datenschutz-Grundverordnung (DSGVO). Konkret soll es um Datenflüsse gehen, die im Zusammenhang mit „Qualcomm GNSS Assistance Service“ (früher „XTRA“) stehen. Qualcomm habe gegenüber Nitrokey erklärt, dass diese Datenerfassung im Einklang mit der Datenschutzrichtlinie für Qualcomm XTRA stehe.
Konkret werden laut Qualcomm folgende Informationen vom Endgerät geladen respektive gesammelt:
[...]
The Qualcomm GNSS Assistance Service downloads to your device a data file from QTI containing the predicted orbits of the Global Navigation Satellite System (GNSS) satellites. The Qualcomm GNSS Assistance Service also uploads a small amount of data to us comprised of: a randomly generated unique software ID that is not associated to you or to other IDs, the chipset name and serial number, the Qualcomm GNSS Assistance Service software version, the mobile country code(s) and network code(s) (allowing identification of country and wireless operator), the type of operating system and version, device make and model, the date and time of connection to the server, the time since the last boot of the application processor and modem, and a list of QTI software on the device.
As with any internet connection, we will also receive the IP address the device used to send us data.
[...]
We retain the IP address for up to ninety (90) days to evaluate, maintain, and improve the performance of our systems after which we de-identify the IP address. The de-identified IP address and the other data uploaded by Qualcomm GNSS Assistance Service is anonymous to us and we retain and use such data for our business purposes.
Qualcomm GNSS Assistance Service
Dieser Dienst laufe laut Nitrokey direkt auf der Qualcomm-Firmware. Nitrokey spricht von einem verdeckten Betriebssystem, auf dem der Linux Kernel und das entgoogelte /e/OS als „Slave“ laufen würden. Das Unternehmen schlussfolgert, dass es somit selbst bei einem entgoogelten Gerät immer noch keine vollständige Kontrolle über die Privatsphäre und darüber gebe, welche personenbezogenen Daten abfließen, da die darunter liegende Closed-Source-Software die privaten Daten weitergeben würde.
Qualcomm widerspricht Vorwürfen
Qualcomm widerspricht dem Artikel von Nitrokey und sieht diesen gespickt mit Ungenauigkeiten und vermutet, dass dessen Entstehung im Zusammenhang mit einer Motivation des Autors stehe, das eigene Produkt zu verkaufen. Auf Nachfrage hat Qualcomm der Redaktion folgende Stellungnahme zukommen lassen:
The article is riddled with inaccuracies and appears to be motivated by the author’s desire to sell his product. Qualcomm only collects personal information when permitted by applicable law. As disclosed in our publicly available privacy policy (https://www.qualcomm.com/site/privacy/services), the relevant Qualcomm technologies use non-personal, anonymized, technical data to enable device manufacturers to provide their customers location-based apps and services that end users expect from today’s smartphones.
Qualcomm
Mit „eigenem Produkt“ ist das NitroPhone gemeint, das laut Nitrokey im Gegensatz zu Produkten mit Qualcomm-Chip sicher sei. Im selben Beitrag heißt es von Nitrokey, dass das NitroPhone von Nitrokey nicht den genannten Qualcomm-Chipsatz enthalte und eigene Tests bestätigt hätten, dass bei ausgeschaltetem GPS keine A-GPS-Anfragen gestellt werden.
Das NitroPhone ist kein eigens entwickeltes Smartphone, sondern ein angepasstes Pixel 7 mit GrapheneOS, das optional zudem mit ausgebauten Mikrofonen, Sensoren und Kameras bestellt werden kann. Das Pixel 7 nutzt als Prozessor den Tensor G2 von Google, als Modem kommt das Eynos 5123 von Samsung zum Einsatz. In diesem Modem klaffte zuletzt eine riesige Sicherheitslücke, die einen 0-Day-Exploit nur mit der Rufnummer des Anwenders ermöglichte. Auf dem Pixel 6 und Pixel 7 wurde die Lücke zwischenzeitlich von Google geschlossen.
Macher von GrapheneOS dementieren ebenso
Auch die Macher von GrapheneOS widersprechen auf Reddit den Vorwürfen von Nitrokey. Der Beitrag von Nitrokey sei im Sensationsstil geschrieben und das Unternehmen haben keine „Backdoor“ entdeckt. „People not knowing about XTRA (PSDS) or SUPL doesn't make them a backdoor“, heißt es in dem Beitrag. Demnach kenne sich Nitrokey nicht mit den Diensten aus und vermische verschiedene Dinge.
Qualcomm used to use izatcloud.net for both IZat and XTRA which are entirely separate services. They moved XTRA to xtracloud.net to make it clear that it's a separate thing. Some devices using an older SoC or configuration may still use the confusing izatcloud.net URLs leading to people mixing up these things up.
GrapheneOS
Verschlüsselte Verbindung wäre angebracht
Die Redaktion kann nachvollziehen, dass für die Umsetzung gewisser Dienste von Qualcomm zwangsweise gewisse Daten fließen respektive Informationen ausgetauscht werden müssen. Aber wenn dies schon notwendig ist, dann ist jedoch der Transport über eine unverschlüsselte Verbindung fragwürdig, sollte der Bericht von Nitrokey in diesem Punkt zutreffend sein. ComputerBase hat bei Qualcomm nachgefragt, ob die Informationen tatsächlich über eine unverschlüsselte HTTP-Verbindung übertragen werden. Eine Stellungnahme herzu soll noch von Qualcomm erfolgen und wird bei Verfügbarkeit nachgereicht.
Qualcomm hat die Information nachgereicht, dass HTTPS seit 2016 der Standard sei und von allen Geräten genutzt werde. Auch GrapheneOS nennt im Reddit-Beitrag für den PSDS (Predicted Satellite Data Service) von XTRA die Nutzung von HTTPS GET Requests.
Die Redaktion dankt Community-Mitglied „Michail“ für den Hinweis zu dieser Meldung.