Nitrokey affirme que Qualcomm espionnerait des millions d’utilisateurs Android, scandale en vue ?
Dans le monde des téléphones Android, NitroKey n’est pas vraiment connu du grand public. Pourtant, ce constructeur allemand a la réputation de proposer les téléphones Android les plus sécurisés au monde. Pour ce faire, Nitrokey fait fabriquer ses NitroPhones sur la base des Pixels de Google dont il remplace l’OS par GrapheneOS, un fork Android dénué de toutes les fonctionnalités Google et dont l’accès aux éléments comme la caméra ou le micro est restreint.
C’est en réalisant des tests sur un téléphone Sony Xperia XA2 sous /e/ un OS dépourvu des services Android, que les chercheurs ont découvert le problème. Du fait que le téléphone tourne sous /e/, il ne communique avec aucun service de Google au démarrage. Sauf que les ingénieurs ont intercepté les données émises par les processeurs Qualcomm qui seraient envoyées vers des serveurs de Qualcomm répondant au nom d’Izat Cloud.
Un problème très grave qui touche des millions d’utilisateurs
Si la collecte des données n’est pas une chose nouvelle, le problème va bien plus loin. Selon les chercheurs de Nitrokey, ces données seraient transmises en clair, c’est-à-dire sans chiffrement. Elles peuvent donc être interceptées très facilement, et une tierce personne pourrait avoir accès aux informations personnelles des utilisateurs. On imagine déjà le mal qui pourrait être fait lorsque des hackers vont exploiter cette faille.
Pour ne rien arranger, Android est incapable en lui-même de couper ces transmissions du fait qu’elles sont effectuées par les chipsets eux-mêmes, c’est-à-dire de manière totalement indépendante. Android est donc incapable de voir ces données ou d’y mettre un terme.
Pour sa défense, Qualcomm a indiqué à Nitrokey que ces transmissions de données étaient en conformité avec la politique de confidentialité de Qualcomm Xtra. Ce service de Qualcomm est censé aider à la navigation par GPS. Problème, personne chez NitroKey ne connait ce fameux service ou n’en a entendu parler selon leurs dires.
Pour ne rien arranger, les chercheurs de Nitrokey ont réussi à intercepter les fameuses données envoyées vers Izat cloud, dont les données d’applications tierces comme les réseaux sociaux.
Selon Nitrokey, voici les données collectées par Qualcomm et envoyées vers ses serveurs :
- ID unique
- Nom du chipset
- Numéro de série du chipset
- Version du logiciel XTRA
- Code du pays où est utilisé le téléphonie cellulaire
- Code du réseau mobile (permettant d’identifier le pays et l’opérateur sans fil)
- Type de système d’exploitation et version
- Marque et modèle de l’appareil
- Temps écoulé depuis le dernier démarrage du processeur d’application et du modem
- Liste des logiciels présents sur l’appareil
- l’adresse IP
Quels sont les téléphones touchés par ce problème ?
En fait, tous les téléphones contenant un processeur Qualcomm sont concernés. En réalité la liste est tellement longue à dresser qu’il est plus aisé de donner la liste des téléphones qui ne sont pas touchés par ce problème :
Tous les iPhones
Les Pixel 6 et Pixel 7 qui utilisent des processeurs Google Tensor
Les Galaxy S pourvus de processeur Exynos
Tous les NitroPhone qui utilisent des processeurs Google Tensor
Les téléphones Huawei qui utilisent des processeurs Kirin
En dehors de ces téléphones, tous les autres utilisent un processeur Qualcomm et transmettent alors vos informations de manière non sécurisée. Excepté pour préciser le service Xtra, Qualcomm n’a pour l’instant fait aucune déclaration ou annoncé des mesures afin de protéger. C’est cependant un problème extrêmement grave du fait que les données peuvent être interceptées facilement et surtout en clair.
Crédit Image : Capture Qualcomm via PlanHub