說(shuō)一個(gè)事：你覺得你的手機(jī)有后門嗎？

在很久以前，黑馬一直覺得自己的手機(jī)容易被病毒攻陷。那時(shí)，黑馬手機(jī)中必裝某安全衛(wèi)士，每天不查殺一遍木馬病毒之類就渾身不自在。在黑馬的這種嚴(yán)謹(jǐn)之下，黑馬的手機(jī)從未遭受過病毒或者木馬的侵襲。

這也讓黑馬一度以為，現(xiàn)在的互聯(lián)網(wǎng)上越來(lái)越安全了。然而，黑馬萬(wàn)萬(wàn)沒想到，打臉來(lái)得如此之快。

近日，德國(guó)安全公司 Nitrokey 表示：在采用高通驍龍?zhí)幚砥鞯闹悄苁謾C(jī)中，發(fā)現(xiàn)了未經(jīng)用戶同意也能直接將個(gè)人數(shù)據(jù)發(fā)送給高通服務(wù)器的情況。

(資料圖片僅供參考)

據(jù)了解，測(cè)試手機(jī)使用的是索尼 Xperia XA2，搭載驍龍 630 處理器。

根據(jù) Nitrokey 描述，可能還有 Fairphone 以及更多使用高通芯片的安卓手機(jī)也存在該漏洞。

哈？

看到這句話，黑馬馬上跑去看了看原文，順便幫大家捋了捋 Nitrokey 的測(cè)試條件，是否能夠真的測(cè)試出高通在處理器上留有后門秘密，以此收集用戶信息的事情。

首先，Nitrokey 選擇給索尼 Xperia XA2 刷上沒有谷歌搜索服務(wù)的 Android 開源版本—— /e/OS，理論上來(lái)說(shuō)，因?yàn)闆]有谷歌服務(wù)的參與，運(yùn)行該系統(tǒng)的設(shè)備是無(wú)法被谷歌獲取到信息并定位的，同時(shí)該系統(tǒng)也不會(huì)向 Google 傳輸信息。

在這之后，Nitrokey 的研究人員在手機(jī)關(guān)閉 GPS、沒有 SIM 卡的情況下，通過 Wireshark（一款專業(yè)的監(jiān)控和分析通過網(wǎng)絡(luò)發(fā)送的所有流量的軟件）對(duì)其進(jìn)行流量監(jiān)控。

在連接 Wi-Fi 之后，理論上不該有任何流量波動(dòng)的索尼 Xperia XA2，向兩個(gè)網(wǎng)站產(chǎn)生了流量波動(dòng)。

在這其中，第一個(gè)網(wǎng)站是屬于谷歌，第二個(gè)網(wǎng)站也屬于谷歌。搞笑吧，" 去谷歌手機(jī) " 在聯(lián)網(wǎng)的第一時(shí)間就是和谷歌聯(lián)系。

經(jīng)過 Nitrokey 的研究人員查詢發(fā)現(xiàn)，/e/OS 這個(gè)宣稱 " 完整的、完全‘去谷歌化’的移動(dòng)生態(tài)系統(tǒng) "，它的谷歌服務(wù)被 microG 取代，而 microG 大家可以簡(jiǎn)單理解為 " 基于 Google 開源的專有核心庫(kù) / 應(yīng)用程序的免費(fèi)克隆 "。

因?yàn)?Google 開源代碼許可，允許第三方進(jìn)行修改，盡管它 " 去谷歌服務(wù) " 了，但是并沒有完全去掉。

所以，這也使得 " 去谷歌手機(jī) " 在聯(lián)網(wǎng)后的第一時(shí)間聯(lián)系了該網(wǎng)站。

隨后便重新定向到了取代了 Android 的 Google 服務(wù)器連接檢查的 connectivitycheck.gstatic.com。

好嘛，在這里我們都還能理解，那接下來(lái)訪問的這個(gè)網(wǎng)站就屬實(shí)搞不懂了。

根據(jù) Nitrokey 放出的實(shí)驗(yàn)過程顯示，在兩秒鐘后，" 去谷歌手機(jī) " 再次訪問了一個(gè)陌生網(wǎng)站。

這一次，它的狐貍尾巴，終于露出來(lái)了。

根據(jù)查詢顯示，izatcloud.net 域名屬于一家名為 Qualcomm Technologies，Inc. 的公司，也就是我們所熟知的高通。而目前，大約 30% 的 Android 設(shè)備均使用了高通處理器，也就說(shuō)是說(shuō)，全球 30% 的 Android 手機(jī)都有可能存在這個(gè)后門。

Nitrokey 從抓包的數(shù)據(jù)上發(fā)現(xiàn)，這些包均是使用的 HTTP 協(xié)議，而非更加安全的 HTTPS、SSL 等協(xié)議加密，這也意味著任何人均可以收集這些數(shù)據(jù)。

鑒于索尼或 /e/OS 的服務(wù)條款中均未提及和高通有數(shù)據(jù)共享協(xié)議，所以 Nitrokey 合理懷疑高通在未經(jīng)用戶許可下偷偷獲取用戶信息。

難不成，高通公司通過處理器后門在偷偷監(jiān)視我們嗎？

對(duì)此，高通回應(yīng)稱：

此數(shù)據(jù)收集符合高通的 Xtra 隱私政策，根據(jù) XTRA 服務(wù)隱私政策顯示，高通可能會(huì)收集位置數(shù)據(jù)、唯一標(biāo)識(shí)符（例如芯片組序列號(hào)或國(guó)際用戶 ID）、有關(guān)設(shè)備上安裝和 / 或運(yùn)行的應(yīng)用程序的數(shù)據(jù)、配置數(shù)據(jù)（例如品牌、型號(hào)和無(wú)線運(yùn)營(yíng)商）、操作系統(tǒng)和版本數(shù)據(jù)、軟件構(gòu)建數(shù)據(jù)以及有關(guān)設(shè)備性能的數(shù)據(jù)（例如芯片組的性能），電池使用情況和熱數(shù)據(jù)。

同時(shí)還會(huì)從第三方來(lái)源獲取個(gè)人數(shù)據(jù)，例如數(shù)據(jù)經(jīng)紀(jì)人、社交網(wǎng)絡(luò)、其他合作伙伴或公共來(lái)源。

就目前來(lái)看，除了我們的位置信息之外，高通似乎并沒有訪問其他的敏感信息。基于此，黑馬分析，高通收集這些數(shù)據(jù)可能是為了優(yōu)化自身產(chǎn)品、定制市場(chǎng)畫像，同時(shí)分析出手機(jī)廠商的市場(chǎng)銷量方便配貨和溢價(jià)等。

只不過在不告知用戶的情況下偷偷收集這個(gè)信息屬實(shí)有點(diǎn)嚇人。

畢竟，當(dāng)用戶使用搭載驍龍?zhí)幚砥鞯脑O(shè)備接入網(wǎng)絡(luò)之后，高通就能知道這個(gè)人在哪、用的什么網(wǎng)絡(luò)，甚至還能通過安裝了哪些 APP 分析出這個(gè)人的工作類別、消費(fèi)能力、興趣愛好等等。

雖然不是直接獲取你的照片、通訊錄、聊天記錄，但是基于收集的數(shù)據(jù)，同樣可以分析出很多的信息。

Nitrokey 得出的結(jié)論是，高通定制的 AMSS 固件不僅優(yōu)先于任何操作系統(tǒng)，而且由于使用非加密的 HTTP 協(xié)議，可以根據(jù)收集到的數(shù)據(jù)創(chuàng)建一個(gè)獨(dú)特的設(shè)備簽名，且這些信息都可以被第三方訪問。

雖然 Nitrokey 結(jié)尾提到：在部分極端情況下，這些位置信息會(huì)被濫用，給智能手機(jī)使用者帶來(lái)不幸。

但我們國(guó)內(nèi)倒也無(wú)需有這樣的擔(dān)憂，畢竟，通過定位 Android 智能手機(jī)拍出無(wú)人機(jī)遠(yuǎn)程擊殺重要人物這種場(chǎng)景，不太可能會(huì)出現(xiàn)在中國(guó)。

某種程度上來(lái)說(shuō)，在處理器上留下 " 后門 " 已經(jīng)是見怪不怪的事了。早先，某國(guó)際大廠就在處理器上留下過后門。這也直接警醒了我們，在核心技術(shù)一定要實(shí)現(xiàn)自給自足，要把核心技術(shù)掌握在自己手里。

如果是普通軟件漏洞可以通過補(bǔ)丁更新來(lái)修復(fù)，但是這種硬件上面的 " 后門 "，我們沒有任何辦法可以修復(fù)或者規(guī)避。除非你不用智能手機(jī)，但這放在現(xiàn)在來(lái)說(shuō)也不太現(xiàn)實(shí)。

高通這次傳輸?shù)臄?shù)據(jù)沒什么，但是誰(shuí)又能保證它沒有留下其他更深層次的后門呢？普通人或許無(wú)所謂，但是如果一些在敏感領(lǐng)域工作的人也在使用這種有后門的手機(jī)的話，那無(wú)疑會(huì)造成敏感信息的流失。

普通人要想保護(hù)自己的隱私，越來(lái)越難了。

如果喜歡我們的內(nèi)容

真誠(chéng)推薦你星標(biāo)走一波，還能領(lǐng)紅包