Sự việc được Nitrokey công bố từ tháng 4 năm 2022, sau khi họ tiến hành thử nghiệm trên máy điện thoại Sony Xperia XA2 trang bị chip Snapdragon 630 cài hệ điều hành /e/OS de-Google Android (phiên bản Android đã loại bỏ tất cả các dịch vụ của Google). Nhóm thử nghiệm không gắn thẻ SIM cho máy điện thoại mà để máy trao đổi dữ liệu thông qua mạng không dây nhằm mục đích kiểm soát quá trình trao đổi thông tin thông qua phần mềm Wireshark.

Ngay sau khi khởi động và kết nối mạng, máy điện thoại đã khởi tạo kết nối tới các máy chủ android.clients.google.com; connectivity.ecloud.global và izatcloud.net.

Tiếp tục nghiên cứu, nhóm thử nghiệm phát hiện các thông tin cá nhân được gửi đến máy chủ izatcloud.net của tập đoàn Qualcomm Technologies gồm: số IMEI, tên chip, số series của chip, phiên bản phần mềm XTRA, mã di động quốc gia, nhà cung cấp mạng di động, nhà sản xuất thiết bị, kiểu máy, danh sách ứng dụng trên thiết bị và địa chỉ IP. Tìm hiểu sâu hơn, Nitrokey phát hiện phần mềm XTRA của Qualcomm cung cấp cả ứng dụng xác định chính xác vị trí thiết bị điện thoại A-GPS. Các dữ liệu này được truyền qua giao thức HTTP không an toàn và không áp dụng kỹ thuật mã hóa bổ sung nào.

Sau khi công ty an ninh mạng Nitrokey công bố báo cáo trên đã thu hút rất nhiều sự quan tâm và nhận được nhiều ý kiến phản hồi bày tỏ các quan điểm khác nhau. Trong đó có cả ý kiến cho rằng Nitrokey đưa ra thông tin này nhằm quảng cáo, giới thiệu sản phẩm điện thoại di động của hãng này (NitroPhone) [1]. Theo Nitrokey thì sau 4 ngày công bố (27/4/2022) thì họ đã bị một cuộc tấn công DDoS với dung lượng 50Gbits làm ngừng website của họ trong vòng 20 giờ.

Phản ứng với sự kiện trên, Tập đoàn Quanlcomm thừa nhận việc thu thập dữ liệu trên và cho rằng, nó hoàn toàn hợp pháp, cụ thể là tuân thủ chính sách quyền riêng tư đã được đề cập của dịch vụ XTRA [2] (Dịch vụ của Qualcomm cung cấp chính xác các vị trí vệ tinh trong thời gian dài cho thiết bị di động). Việc thu thập thông tin nhằm mục đích tăng trải nghiệm của người dùng (đặc biệt là khả năng định vị chính xác của dịch vụ GPS và tối ưu lượng pin sử dụng cho dịch vụ GPS) và các dữ liệu này được xử lý ở Mỹ và lưu trữ trong vòng 90 ngày tại nhiều máy chủ trên khắp thế giới.

Một số chuyên gia cũng cho rằng việc thu thập dữ liệu của Qualcomm không nên cho là “lén lút” và bí mật, họ đã thu thập từ lâu và triển khai thông qua giao thức không mã hoá HTTP. Các nhà sản xuất chip khác như Intel, Huawei, Samsung hay Apple cũng có các ứng dụng thu thập thông tin thông qua mạng [3]. Nội dung cụ thể của các dữ liệu thu thập này được đề cập trong tài liệu riêng của mỗi hãng, trong đó có tài liệu công bố nhưng cũng có tài liệu khó tiếp cận trực tiếp.

Ví dụ như trong tài liệu Intel Privacy Notice [4] của hãng Intel cũng thông báo họ thu thập thông tin các nhân người dùng từ nhiều nguồn khác nhau như: các website của hãng khi người dùng cho phép tích hợp cookies; các sản phẩm của hãng; các phần mềm, công cụ, dịch vụ và các tính năng của hãng. Cách duy nhất để chắc chắn về các nội dung này là kiểm tra bằng các công cụ chuyên dụng (ví dụ như sử dụng phần mềm Wireshark).

Mặc dù chưa biết các thông tin cá nhân mà Qualcomm cũng như các hãng sản xuất chip khác thu thập có được sử dụng vào các mục đích nào khác, các chuyên gia an ninh mạng bày tỏ lo ngại việc dữ liệu cá nhân được truyền qua giao thức HTTP kém bảo mật sẽ ảnh hưởng đến quyền riêng tư và bảo mật thông tin người dùng. Sự việc cho thấy một yêu cầu thực tế rằng cần có sự minh bạch hơn từ các công ty công nghệ về dữ liệu họ thu thập và cách sử dụng dự liệu này. Người dùng cần được biết thông tin của họ đang được sử dụng như nào và có khả năng kiểm soát chúng hay không.