News Standort-Dienst: Qualcomm widerspricht Vorwürfen der Datensammlung

[nlr]

Nitrokey, ein deutscher Anbieter von USB-Stick-Hardware-Schlüsseln sowie angepassten Smartphones ohne Google-Dienste, wirft Qualcomm das ungefragte Sammeln von Standort- und Geräte-Informationen bei bestimmten Chips vor. Qualcomm widerspricht dem Unternehmen und sieht die Motivation des Berichts bei den Nitrokey-Produkten.

Zur News: Standort-Dienst: Qualcomm widerspricht Vorwürfen der Datensammlung

 

[Laktose-Larry]

Evtl. noch für den Artikel erwähnenswert ist die durchaus scharfe Reaktion des Main-Developers von GrapheneOS, der NitroKey widerspricht.

"NitroKey did not discover a backdoor. The post is very sensationalized and it's unfortunate they didn't run this by us first. The title used for the post here is editorialized and doesn't match what the article actually states. This is not a backdoor.

......"

https://www.reddit.com/r/privacy/co.../?utm_source=share&utm_medium=web2x&context=3

Der investigative Touch des Nitrokey-Artikels gepickt mit den Verkauf von eigener Hardware, ist ziemlich nach hinten losgegangen, obwohl ich die Firma ansonsten sehr schätze.

 

[Termy]

Und genau deswegen sind Blobs bzw Geräte, auf denen Blobs und geschlossene Firmwares laufen per se nicht vertrauenswürdig.
Es ist nur eine absolute Schande, dass es im Desktop-Bereich quasi und im Handy-Bereich absolut keine wirklich offenen und vertrauenswürdigen Geräte gibt

 

[frank99]

"Qualcomm Incorporated ist ein Halbleiterhersteller und Anbieter von Produkten für Mobilfunkkommunikation mit Sitz in San Diego, Kalifornien. "

Welch eine Überraschung das Ami Konzerne Backdoors in ihrer Hardware oder auch Software haben.
Und natürlich werden die Daten direkt bei der NSA gespeichert werden.

Ein Verkaufsverbot für Ami Hardware und Software in Europa ist überfällig!

 

[nlr]

Evtl. noch für den Artikel erwähnenswert

Danke, habe ich eben noch mit aufgenommen.

 

[Abrexxes]

@frank99
Meine xbox darf ich aber behalten. 🥰

 

[AGB-Leser]

Warum hacken eigentlich alle auf dem Bericht von Nitrokey rum? Finden das mittlerweile alle normal, dass ein komplettes Betriebssystem auf einem scheiß Modem läuft??

 

[maxik]

"Qualcomm Incorporated ist ein Halbleiterhersteller und Anbieter von Produkten für Mobilfunkkommunikation mit Sitz in San Diego, Kalifornien. "

Welch eine Überraschung das Ami Konzerne Backdoors in ihrer Hardware oder auch Software haben.
Und natürlich werden die Daten direkt bei der NSA gespeichert werden.

Ein Verkaufsverbot für Ami Hardware und Software in Europa ist überfällig!

Dann landet man ganz schnell wieder in der Steinzeit! So einfach ist das alles nicht

 

[madmax2010]

Es ist nur eine absolute Schande, dass es im Desktop-Bereich quasi und im Handy-Bereich absolut keine wirklich offenen und vertrauenswürdigen Geräte gibt

Absolute Zustimmung. Was ich kaufe, will ich kontrollieren koennen wie ich es moechte.
Aber: Welche Kritikpunkte hast du aus der Blickrichtung am Librem 5? Das finde ich recht akzeptabel.

 

[Piktogramm]

Warum hacken eigentlich alle auf dem Bericht von Nitrokey rum? Finden das mittlerweile alle normal, dass ein komplettes Betriebssystem auf einem scheiß Modem läuft??

Das was Nitrokey verzapft hat ist einfach Käse.
Es gibt Anfragen für durchaus sinnvolle Funktionen. Die Anfragen könnten besser, transparenter und datensparsamer implementiert sein. Im Rahmen dessen was normale Google Androids, Windows, Chrome Browser oder selbst Apples MacOS/iOS abfließen lassen, ist es aber echt bedeutungslos.

Das Firmwares als eigene Betriebssysteme auf jeweils eigenen Prozessoren mit eigenem Speicher laufen ist auch nicht neu. BIOS/UEFI, Firmware für Wifi/Bluetooth, Firmware für WAN Modems, Display/Touchcontroller, Fingerprintscanner, die fülle an DSPs für Audio und Video, Energiemanagement, Speichercontroller für Festspeicher, Grafik, Fernwartung und das doppelte Dutzend Coprozessoren die ich vergessen habe. Das ist mehr oder weniger normal für alle Computersysteme ab den 1990ern.
Die OpenSource Gemeinde sieht das kritisch und freiheitlichem Grundgedanke entgegenstehend. Im Bereich IT-Sec hat man damit auch großen Spaß, da diese Subsysteme sehr starken Qualitätsschwankungen unterliegen und teils beunruhigend viel Zugriff aus das Gesamtsystem haben.
Aber grundlegend will man die Grundfunktionen dieser Subsysteme nicht im Kontext vom großem Betriebssystem haben. Den Verwaltungsaufwand aus eigene Coprozessoren und Subsysteme auszulagern ist technisch sinnvoll[1].

[1] Uns so ungern ich es schreibe. Es ist durchaus sinnvoll diese Subsysteme gegenüber Modifikationen zu schützen. Funkmodule könnten mit gehackter Firmware weit außerhalb der Spezifikation betrieben werden und das ist äußerst schlecht für alle Nutzer. Zudem wäre das ein gefundenes Fressen um Schädlinge in Systemen zu persistieren.

 

[Lan_Party94]

Auch die Macher von GrapheneOS widersprechen auf Reddit den Vorwürfen von Nitrokey.

HAHAHAHAHAHA! Ich musste so laut loslachen. 🤣

Wäre das nicht ein gefundenes Fressen für Qualcomms Anwälte? Rufmord und solche Sachen halt?

 

[nlr]

Artikel-Update: Qualcomm hat die Information nachgereicht, dass HTTPS seit 2016 der Standard sei und von allen Geräten genutzt werde. Auch GrapheneOS nennt im Reddit-Beitrag für den PSDS (Predicted Satellite Data Service) von XTRA die Nutzung von HTTPS GET Requests.

 

[nureingast]

Evtl. noch für den Artikel erwähnenswert ist die durchaus scharfe Reaktion des Main-Developers von GrapheneOS, der NitroKey widerspricht.

"NitroKey did not discover a backdoor. The post is very sensationalized and it's unfortunate they didn't run this by us first. The title used for the post here is editorialized and doesn't match what the article actually states. This is not a backdoor.

......"

NitroKey hat nicht behauptet eine Backdoor gefunden zu haben.
Auf das Problem der (mMn nicht notwendigen) Übertragung von Daten geht der Main-Developer garnicht ein. Hat der den Artikel von NitroKey nicht gelesen oder nicht verstanden?

 

[Termy]

Absolute Zustimmung. Was ich kaufe, will ich kontrollieren koennen wie ich es moechte.
Aber: Welche Kritikpunkte hast du aus der Blickrichtung am Librem 5? Das finde ich recht akzeptabel.

Hatte das nicht auch geschlossene Firmware fürs Modem?

 

[dunkelmut]

NitroKey hat nicht behauptet eine Backdoor gefunden zu haben.
Auf das Problem der (mMn nicht notwendigen) Übertragung von Daten geht der Main-Developer garnicht ein. Hat der den Artikel von NitroKey nicht gelesen oder nicht verstanden?

Das wundert mich auch etwas. Und was ist denn nun, werden diese Daten übertragen? Wenn ja, dann hat Nitrokey etwas über die Stränge geschlagen - aber den Vorwurf der Datenübertragung ohne Zustimmung entkräftigt das ja nicht.

 

[AGB-Leser]

@Piktogramm

Es kann sinnvoll sein, gewisse Sachen auszulagern. Aber dass das System komplett autark arbeitet und sich von außen fernsteuern lässt, selbst Verbindungen aufbaut,. Zugriff auf die komplette Hardware hat....sich also jeglicher Kontrolle entzieht....tut mir leid, das ist für mich völlig inakzeptabel. Uefi/BIOS arbeitet (noch) nicht autark. Dauert aber nicht mehr lange, glaub mir. Das hat für mich nichts mehr mit besserer Arbeitsaufteilung zu tun. Und ich habe mich immer gewundert, warum mein Prepaidanbieter immer Internet gebucht hat, obwohl ich mobile Daten aus hatte.

Und wer will, kann auch die Firmware ändern... inklusive erweiterter Bandbreite

 

[sHx.Shugo]

Soll das "PDSD (Predicted Satellite Data Service)" im letzten Satz eventuell "PSDS" lauten? Klingt irgendwie seltsam, so wie es momentan steht.

Ansonsten klingt die Behauptung doch sehr nach marketing geblubber wegen dem eigenen "sicheren" Smartphone.
Viel unterstellt aber nichts wirklich belegt.

 

[Piktogramm]

@Piktogramm

Aber dass das System komplett autark arbeitet und sich von außen fernsteuern lässt, selbst Verbindungen aufbaut,.

So verwegen ist selbst Nitrokey nicht, als das sie behaupten würden, dass eine Fernsteuerung möglich ist. Das Fimware bzw. verschiedene Firmwares laufen und die Kontrolle über Hardware haben bzw. haben können ist Stand der Dinge. Wie gesagt, das ist seit den 1990ern so überall gleich.
Der große Kritikpunkt ist an der Stelle allein, dass der Download von AGPS-Daten wirklich dem OS überlassen werden sollten. Nebenbei kann man auch kritisieren, dass die Abfrage mit weniger Daten des Telefons auskommen könnte.

Zugriff auf die komplette Hardware hat....sich also jeglicher Kontrolle entzieht....tut mir leid, das ist für mich völlig inakzeptabel. Uefi/BIOS arbeitet (noch) nicht autark.

Komplett an der Realität vorbei. Bei Intel rennt fröhlich ein kleines Minix los. Läuft auf eigenen CPU-Cores, hat weiträumig Zugriff auf Speicher, hängt am Netzwerk etc. pp.
https://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/
Das ist bei den meisten sonstigen Hardwarekomponenten nicht groß anders. Da läuft überall fröhlich Software auf eigenen Cores, eigenem Speicher und wenn der Spaß DMA-fähig angebunden hat, wäre prinzipiell weiträumiger Speicherzugriff möglich (prinzipiell, weil ja eigentlich IOMMU greifen sollte).

Dauert aber nicht mehr lange, glaub mir. Das hat für mich nichts mehr mit besserer Arbeitsaufteilung zu tun. Und ich habe mich immer gewundert, warum mein Prepaidanbieter immer Internet gebucht hat, obwohl ich mobile Daten aus hatte.

Naja das Mobilfunknetz ist mehr oder weniger[1] auf TCP/IP getrimmt

Und wer will, kann auch die Firmware ändern... inklusive erweiterter Bandbreite

Der Hass aller Funker..

[1] Hallo Klugscheißer der jetzt schon in Großbuchstaben schreibt, dass das so nicht stimmt und ich keine Ahnung habe. Mir ist das durchaus bewusst, deswegen steht hier "mehr oder weniger".

 

[Bigeagle]

Das Dementi von Qualcomm ist für mich der eigentlich interessante Punkt.

Nitrokey sagt sinngemäß dass Qualcomm in Hardware unabschaltbar und zu viele Daten sammelt und damit gegen die DSGVO verstoße. Nebenher läuft das quasi als fest verbautes Rootkit.
Qualcomm erwidert daraufhin "Wir tun nichts verbotenes!"
Der Postillon hats echt schwer.

Warum hacken eigentlich alle auf dem Bericht von Nitrokey rum? Finden das mittlerweile alle normal, dass ein komplettes Betriebssystem auf einem scheiß Modem läuft??

Dummerweise IST das tatsächlich normal geworden. Jede Desktop CPU kommt mit ihrem eigenen integrierten OS samt eigener integrierter Hardware. Wie Piktogramm schrieb tut das andere Hardware auch, wobei ich dafür bei z.b. HDDs/SSDs irgendwie eher die Notwendigkeit dafür sehe als bei CPU, Netzwerkchips etc.
Das nennt man dann auch nicht mehr Rootkit sondern z.b. Management Engine oder Sicherheitschip oder erwähnt es garnicht erst weil die Firmware ja irgendwo laufen muss. Zeitweise hatte so mancher PC wohl mehr Kerne in der HDD als in der CPU ^^
Über z.b. DMA kann afaik das meiste davon recht böse Dinge im System anstellen.
Über die Frage wie man eigentlich erkennt ob die SSD und der Netzwerkchip ihr eigenes Ding machen und wie man das wieder loswerden können kann man schon ein wenig paranoid werden.

 

[AGB-Leser]

So verwegen ist selbst Nitrokey nicht, als das sie behaupten würden, dass eine Fernsteuerung möglich ist.

Der große Kritikpunkt ist an der Stelle allein, dass der Download von AGPS-Daten wirklich dem OS überlassen werden sollten. Nebenbei kann man auch kritisieren, dass die Abfrage mit weniger Daten des Telefons auskommen könnte.

Also in "meiner" naiven Welt hat NICHTS am Betriebssystem vorbeizufunken. Egal ob per Funk, über Protokolle in eine Datei oder sonst was. Datenein- und ausgabe ist für mich immernoch Sache des Betriebssystems. Die Firmware darf höchstens Schnittstellen zur Verfügung stellen.

Komplett an der Realität vorbei.

Das kenne ich, habe AMD bzw deren Version soweit es geht abgeschaltet. Dadurch, dass Intel da mittlerweile unter Beobachtung steht, müssen die aufpassen. Sowas kann für Firmen gut sein, sollte aber aktiv beim Einrichten vom System eingeschaltet werden. Für Privatanwender sollte das garnicht verkauft werden dürfen.

Der Hass aller Funker..

Halte ich für unwahrscheinlich, weil dann schnell (alte Bezeichnung) die Post vor der Tür steht. Klappt bei Led Lampen und dem ganzen Chinageraffel ja auch gut.