Informasi pribadi tersebut dikirim tanpa persetujuan pengguna

JAKARTA, Radio Bharata Online - Ponsel pintar dengan chip Qualcomm ditemukan mengirimkan informasi pribadi pengguna, termasuk alamat IP, ID unik, dan kode negara ponsel, ke produsen chip asal Amerika Serikat tersebut.  Demikian menurut sebuah laporan dari perusahaan keamanan asal Jerman, Nitrokey, yang pertama kali dirilis pada tanggal 25 April.

Menurut Nitrokey, informasi pribadi tersebut dikirim tanpa persetujuan pengguna, tidak terenkripsi, dan bahkan ketika menggunakan distribusi Android Google yang bebas.

Nitrokey melakukan pengujian dengan menggunakan smartphone Sony Xperia XA2 yang dilengkapi dengan chip Qualcomm Snapdragon 630, dan menginstal /e/OS, versi open-source Android yang bebas dari layanan Google.

Tidak ada kartu SIM yang dimasukkan ke dalam ponsel, dan layanan lokasi GPS juga tidak diaktifkan. Perangkat ini hanya dapat mengakses internet melalui WiFi.

Perusahaan memantau data dengan Wireshark, sebuah perangkat lunak lalu lintas jaringan, dan menemukan bahwa data tersebut akan dikirim ke server izatcloud.net, yang terhubung dengan Qualcomm.

Laporan tersebut mengatakan, bahwa paket data tersebut "dikirim melalui protokol HTTP dan tidak dienkripsi menggunakan HTTPS, SSL atau TLS," sehingga rentan terhadap serangan, karena siapa pun yang dapat mengakses jaringan, "dapat dengan mudah memata-matai pengguna dengan mengumpulkan data ini, menyimpannya, dan membuat catatan riwayat menggunakan ID unik ponsel, dan nomor seri yang dikirim oleh Qualcomm ke izatcloud.net, yang disebut secara misterius."

Laporan Nitrokey menambahkan, bahwa pembagian data dengan Qualcomm tidak disebutkan dalam persyaratan layanan dari Sony atau Android, atau /e/OS, yang melanggar Peraturan Perlindungan Data Umum.

Sementara smartphone Sony digunakan, Nitrokey mengatakan "lebih banyak lagi ponsel Android" dengan chip Qualcomm yang populer seperti Fairphone, kemungkinan besar akan terpengaruh.

Tanggapan Qualcomm

Pembuat chip bereaksi dalam sebuah pernyataan yang dikirim ke Nitrokey, bahwa pembagian data tersebut sesuai dengan Kebijakan Privasi Layanan XTRA.

Menurut Qualcomm, "Melalui aplikasi perangkat lunak ini, pihaknya dapat mengumpulkan data lokasi, pengidentifikasi unik (seperti nomor seri chipset atau ID pelanggan internasional), data tentang aplikasi yang diinstal dan atau berjalan di perangkat, data konfigurasi seperti merek, model, dan operator nirkabel, sistem operasi dan data versi, data pembuatan perangkat lunak, dan data tentang kinerja perangkat seperti kinerja chipset, penggunaan baterai, dan data termal.”

Dalam pernyataannya yang dikirim ke cybernews.com, Qualcomm menyebut laporan Nitrokey "penuh dengan ketidakakuratan dan dimotivasi oleh keinginan untuk menjual produknya."

Sebuah posting Reddit mengatakan bahwa Nitrokey membuktikan adanya pintu belakang pada chip Qualcomm, yang kemudian dibantah oleh perusahaan keamanan tersebut, dengan mengatakan bahwa mereka tidak menemukan pintu belakang.

Situs berita teknologi Inggris, The Register, mengatakan bahwa Izat Cloud, bagian dari layanan XTRA Qualcomm, pada dasarnya adalah "cara untuk membuat GPS lebih tepat dan dapat diandalkan, sekaligus mengurangi penggunaan perangkat keras radio yang boros energi."  (CGTN)