Android : une étude alarmante révèle que Qualcomm espionne des millions de smartphones

Une récente étude de sécurité a révélé que les smartphones équipés de la puce Qualcomm envoient secrètement des données personnelles à Qualcomm sans le consentement de l’utilisateur et sans chiffrement, même lors de l’utilisation d’une distribution Android sans Google.

Qualcomm espionne smartphones Android
Qualcomm espionne des millions de smartphones Android

Mise à jour le 27 avril à 15 heures. La rédaction de Tom’s Guide a été contactée par un représentant de Qualcomm, qui a souhaité se justifier quant à l’étude de NitroKey (voir en source).
« Qualcomm ne collecte des informations personnelles qu’en conformité avec la législation en vigueur. Comme indiqué dans notre politique de confidentialité, les technologies Qualcomm visées utilisent des données techniques, non-personnelles et anonymisées pour permettre aux fabricants d’offrir à leurs clients des renseignements sur les applications basées sur la localisation et les services attendus par les utilisateurs finaux des smartphones actuels ».
« L’article de NitroKey est truffé d’inexactitudes et semble être motivé par l’envie de l’auteur de promouvoir son produit » explique Qualcomm, évoquant un téléphone que vend effectivement la société NitroKey, porteuse de cette étude.

Au cours de leurs recherches en matière de sécurité, une société allemande a découvert que les smartphones équipés de puces Qualcomm envoient secrètement des données personnelles à l’entreprise. Ces données sont envoyées sans le consentement de l’utilisateur, sans être chiffrées, même lorsqu’on utilise une distribution Android sans Google.

Cela est possible parce que la puce Qualcomm elle-même envoie les données, contournant ainsi tout éventuel paramètre du système d’exploitation Android et les mécanismes de protection. Les smartphones concernés sont le Sony Xperia XA2 et probablement le Fairphone, ainsi que de nombreux autres téléphones Android qui utilisent des puces Qualcomm populaires.

Les puce Qualcomm contournent les paramètres de protection d’Android : les données personnelles sont envoyées sans chiffrement ni consentement

Le micrologiciel propriétaire de Qualcomm télécharge non seulement certains fichiers sur notre téléphone pour aider à établir la position GPS plus rapidement, mais télécharge également nos données personnelles, telles que l’identifiant unique des appareils, notre code de pays, d’opérateur de téléphone portable, système d’exploitation et sa version ainsi qu’une liste de logiciels sur l’appareil. Cela crée une signature complètement unique de nous, permettant le suivi du comportement et réduisant considérablement la confidentialité de l’utilisateur. Peu importe si le GPS est désactivé ou non.

Comme le démontre l’entreprise allemande, le fait que Qualcomm collecte une grande quantité de données sensibles (et les transmette via un protocole HTTP non sécurisé, obsolète) montre qu’ils ne se soucient pas de la confidentialité et de la sécurité des utilisateurs.

À lire : Failles de sécurité : Samsung, LG et d’autres smartphones Android vulnérables

Pour résumer, voici une liste des données que Qualcomm peut collecter à partir de votre téléphone conformément à sa politique de confidentialité :

  • Identifiant unique
  • Nom de la puce
  • Numéro de série de la puce
  • Version du logiciel XTRA
  • Indicatif pays mobile
  • Code de réseau mobile (permettant l’identification du pays et de l’opérateur sans fil)
  • Type de système d’exploitation et version
  • Marque et modèle de l’appareil
  • Temps écoulé depuis le dernier démarrage du processeur d’application et du modem
  • Liste des logiciels sur l’appareil
  • Adresse IP
  • Positions satellite précises.

Les utilisateurs concernés peuvent essayer de bloquer le service Qualcomm XTRA à l’aide d’un service de blocage basé sur le cloud DNS sur TLS, ou rediriger ce trafic vous-même vers le serveur proxy à partir de GrapheneOS, mais cela nécessite une expertise technique.

Source : NitroKey

À lire : Comment se débarrasser des bloatwares sur votre smartphone Android ?