Vlákno názorů k článku
Posílá A-GPS od firmy Qualcomm do světa citlivé informace? (doplněno) od peci1 - Ja to potvrdit nemuzu. Mam Fairphone 4 (ktery...

Ja to potvrdit nemuzu. Mam Fairphone 4 (ktery by tim mel byt postizeny, je zminovany i v tom Nitro clanku), a muj router zadne pristupy na izatcloud ani xtracloud nehlasi. Pravdepodobne to bude zavisle i na zemi, kde se vyskytujete...

Nedeje se to treba jen pri cold bootu ?

Mno, takovou vec svemu telefonu doma nedelam :) Nicmene ten clanek mluvi o tom, ze se ta data stahuji v noci. Takze bych cekal, ze to s coldbootem spojene nebude.

Cely clanek se snazi pusobit jako odhaleni velkeho spehovani u konkurence, ktera se rovnez zameruje na uzivatele, kteri nechteji, aby je telefon sledoval (FairPahone s /e/ nebo Sony Xperia se SailfishOS). Nejzavaznejsi tvrzeni, ze spehovani provadi samotny firmware, bez spoluprace operacniho systemu uz sami opravili.

Navic clanek bohuzel spojuje nestastnym zpusobem dve veci:. Prvni je privacy policy, kde je v podminkach napsane k jakym udajum muze mit Qualcom pristup a druha je to co aplikace skutecne dela, kde tak nejak chybi dukaz toho, ze se zminene osobni udaje opravdu posilaji.

"Výrobce samotný na svém webu službu popisuje: Služba Qualcomm Location Service nám pravidelně odesílá jedinečné softwarové ID, polohu vašeho zařízení"

Aké osobnejšie údaje ešte existujú? Jedinečný identifikátor v spojení s polohou nikdy nemôže byť anonymný. Ak to výrobca tvrdí, tak určite klame aj v iných veciach.

To, že funkcionalita je zo strany qualcomm-u vraj opt-in je prd platná, ak ju poskytovatelia android distribúcií veselo pribaľujú v čase buildu.

Že by špehovátko bolo ukryté v rámci FW, ako tvrdil pôvodný článok, je síce trochu pritiahnuté za vlasy, a tvrdiť to bez dôkazu bola veľká chyba, no v dobe keď wifi čipset môže bežať svoj vlastný linux kernel to nieje úplne nepredstaviteľné.

2. 5. 2023, 11:52 editováno autorem komentáře

Osobní údaj je takový, který je (obecně) spojitelný s konkrétní osobou. Anonymní znamená opak.

To je nečekaný efekt GDPR, že spousta lidí označuje za osobní údaje kde co, co s osobou nijak spojené není.

Za mne v tom puvodnim clanku chybel detailni pohled na to jaka data tam vlastne jdou v podobe hlavicek HTTP requestu. Vypujcim si https://forum.fairphone.com/t/telemetry-spyware-list-of-privacy-threats-on-fp3-android-9/55179/25

GET /xtra3grc.bin HTTP/1.1
Host: xtrapath3.izat­cloud.net
Accept: */*, application/vnd­.wap.mms-message, application/vnd­.wap.sic
x-wap-profile: http://www.openmobilealliance.org/tech/profiles/UAPROF/ccppschema-20021212#
User-Agent: A/9/Fairphone/FP3/FP3/un­known/QCX3/l3557­659004810866045/35781109­/+111575957/-+262|01+262|0­3/Fairphone/36966/369­53/-/3.0/1/W/0

Podle vseho treba SailfishOS (napriklad zminovane Sony Xperia) ma geoclue provider, ktery tyto servery muze vyuzivat taky. https://github.com/mer-hybris/geoclue-providers-hybris.

Skoda malo technicky detailu v puvodnim clanku a navic tech chyb (posila to daemon v user space neni to featura baseband), protoze jinak to ukazuje na pomerne skarede sledovani vsech jejich uzivatelu.

Ani v odkazovanem clanku uplne neni videt pouziti SUPL, kde se odesila poloha a seznam wifi siti v okoli, nebo cell tower id. Soucasne tam pisou, ze v androidu se tenhle skaredy daemon neda ani vypnout ani zakazat bez odinstalovani.

Nedokazu uplne polemizovat jestli je informace anonymni kdyz je tam prvnich 8 znaku z IMEI a k tomu treba IPv6 adresa. Pro klid moji paranoidni povahy by bylo lepsi posilat v hlavickach jenom nezbytne udaje.

Stažení A-GPS dat můžete vyvolat ručně (pro Android např. aplikace GPS Status). Vyhnete se tím nutnosti čekat 30 až 90 vteřin na přečtení aktuálních pozičních dat o GPS družicích přímo z GPS signálu (bez pozičních dat neví GPS, kde jsou právě družice a tím pádem nemůže určit polohu).

Jine zdroje uvadeji, ze stazeni almanachu z druzic potrebuje cca 10 minut nepretrziteho dobreho vyhledu na druzice. Mate tech vasich 30-90 vterin necim podlozenych? Ja jen, jestli se neudal nejaky pokrok, o kterem nevim (treba Galileo by to mohlo mit rychlejsi?)

50 bps, velikost 37500 bit = 12,5 min komplet.

Ale ne vzdy ho kompletni potrebujes, zalezi na tom, kdys naposled tu GPSku mel zaplou.

Stahování může probíhat paralelně (až 12 streamů). Sériově to tu čtvrthodinu trvá jen u nejstarších čipů nebo při nejhorším možném příjmu (=nikdy).
https://en.m.wikipedia.org/wiki/Time_to_first_fix