Eine neue Entdeckung von Nitrokey, einem deutschen Unternehmen für Informationssicherheit, hat gezeigt, dass einige Smartphones mit dem Qualcomm-Chip SDM630 unbemerkt persönliche Daten an die Server des US-amerikanischen Herstellers übertragen. Der Chip sendet die Informationen ohne Zustimmung oder Wissen des Nutzers über die Grenzen der EU hinweg - ein Verstoß gegen die Vorgaben der DSGVO. Besonders besorgniserregend ist – dass die Daten unverschlüsselt übertragen werden. Das bedeutet, dass jeder der Interesse an den Daten hat diese abfangen und später auswerten kann. Chips von Qualcomm kommen derzeit in rund 30% aller Smartphones zum Einsatz, einschließlich Apple, Samsung, Sony Xperia XA2 und wahrscheinlich ebenfalls im Fairphone und vielen anderen Android-Smartphones.
Qualcomm Snapdragon 630 (SDM630) betroffen
Laut Nitrokey ist der Prozessor Qualcomm Snapdragon 630 (SDM630) betroffen. Der Test wurde mit der Netzwerkanalyse-Software Wireshark durchgeführt die den unkontrollierten Datenabfluss feststellte. Die Installation eines alternativen Betriebssystems, ebenso wie LineageOS, kann den Datentransfer nicht verhindern, da der Chip die Daten außerhalb des Betriebssystems an die Qualcomm-Server sendet.
Sammelleidenschaft für "Qualitätszwecke"?
Die Weitergabe der Daten an Qualcomm wird weder in den Nutzungsbedingungen von Sony noch in denen des mobilen Betriebssystems erwähnt. Auf Anfrage von Nitrokey teilte die Rechtsabteilung von Qualcomm mit. Dass Datenerfassung angeblich im Einklang mit der Datenschutzrichtlinie von Izat Cloud des Dienstes Qualcomm XTRA steht was die Nutzung legitimieren soll. Nach eigenen Angaben speichert man die Informationen nur für 90 Tage zu "Qualitätszwecken". In der Datenschutzrichtlinie des XTRA-Dienstes ist von der IP-Adresse keine Rede diese wird aber vom Chip ähnlich wie transferiert.
Risiken für die Privatsphäre und Sicherheit der Nutzer
Die Schlussfolgerung des deutschen Unternehmens, das den Datenskandal aufgedeckt hat ist beunruhigend. "Die Tatsache, dass Qualcomm eine große Menge sensibler Daten sammelt und sie über das unsichere und veraltete HTTP-Protokoll überträgt, zeigt uns, dass dem Unternehmen die Privatsphäre und die Sicherheit der Nutzer egal sind. Man muss nicht über eine Zusammenarbeit von Qualcomm mit verschiedenen staatlichen Spionageagenturen spekulieren allerdings es schafft auch ein Risiko wenn der Datenverkehr möglicherweise auch von Diktatoren und anderen unterdrückerischen Regierungen abgefangen wird die nicht einmal eine Zusammenarbeit mit Qualcomm benötigen. Nicht nur Drohnen nutzen häufig Standortinformationen um Menschen ins Visier zu nehmen. Es gibt Fälle, in denen die Entführung und/oder Ermordung von Menschen durch die Nutzung der Standortdaten der Opfer erleichtert wurde. Ein aktuelles Beispiel ist der Iran – wo Demonstranten aufgrund der Ortung ihres Smartphones verhaftet wurden. Dazu muss das Telefon nicht einmal angezapft werden. Der Klartextverkehr ist auch ein Tummelplatz für Datenbroker, die welche Daten der Menschen verkaufen (z.B. Einkaufszentren)."
Kommentare
Die Ergebnisse der Studie von NitroKey sind beunruhigend und verdeutlichen die Risiken für die Privatsphäre & Sicherheit der Nutzer. Es ist wichtig; dass Hersteller von Smartphones und Chips ihre Datensammlung und Datenübertragung transparent machen und die Zustimmung der Nutzer einholen. Bis dahin sollten Nutzer alternative Schutzmaßnahmen wie VPN-Verbindungen und verschlüsselte Messenger nutzen um ihre Daten zu schützen.