事件概览
5 月 8 日,NITRokey 网络安全公司发布研究报告称,搭载高通芯片的索尼 XpeRia XA2(运行 /e/ OS)在未加密的 HTTP 协议下与 Izat Cloud 通信,称高通在不需要 Android 系统参与的情况下可收集部分用户数据。
报告指出,高通会将包括 IP 地址在内的私人用户数据上传至自有服务器,并且在未获得用户同意、且未加密的情况下,甚至在使用无谷歌的 Android 发行版时也会如此。对此,高通发言人对报告中的指控进行了反驳。
双方观点
高通对外表示,文章存在多处不准确之处,作者可能出于产品营销目的撰写该报告。其声明强调仅在适用法律允许的范围内收集个人信息,并按照公开的隐私政策,使用非个人、匿名的技术数据,帮助设备厂商为最终用户提供位置相关的应用与服务。
研究者则指出,数据包通过 HTTP 协议发送,未使用 https、SSL 或 TLS 加密,易受中间人攻击影响。
高通的发言人解释称,目前所有高通芯片均通过 https 进行通信,2016 年起已停止使用 HTTP。若设备较新,AMSS 通信至少可降低中间人攻击的风险。
一位熟悉行业的前移动高管对 The Register 表示,描述 AMSS 为“秘密操作系统”并不准确,厂商间存在多种不同的数据获取方式,普通用户难以理解底层处理过程。
技术与服务背景
Alpine-linux 的 postMaRketOS 核心开发者 MaRtijn BRaaM 也发表文章,反驳研究仅出于营销目的,称高通的 HTTP 通信并不包含私人数据,仅用于下载 GPS 历书以辅助 A-GPS(辅助定位)。
需要注意的是,高通定位服务(QualcoMM Location SeRvice,早前称 IZat Location SeRvices/IZat)是可选服务。其工作原理是在设备内部下载附近信号塔与 Wi‑Fi 热点的位置数据,并结合传感器信息进行位置计算以降低耗电。
高通官网称,定位服务会定期发送唯一的软件 ID、设备位置信息(经度、纬度、海拔及不确定性)、附近基站与热点、信号强度和时间等“位置数据”,并像其他互联网通信一样,记录设备所使用的 IP 地址。
定位服务与用户隐私的现实取舍
不少用户对跨应用数据收集与隐私追踪表达担忧,若不愿成为大数据追踪的一部分,可能需要降低对智能手机服务的使用依赖。也有部分用户愿意以隐私换取便利,选择在可接受的隐私风险范围内使用相关功能。
