Haker Android i profesjonalny konsultant ds. Bezpieczeństwa Dan Rosenberg (możesz go znać jako djrbliss z Internets) ukończył własne badanie na Carrier IQ i znalazł interesujące wyniki. Wszystkie te raporty dotyczące rejestrowania naciśnięć klawiszy i szpiegowania wiadomości SMS wyglądają na winnych niewłaściwej strony, ponieważ jego badania pokazują, że napisane przez operatora iloraz inteligencji może przechwytywać tylko dane wysyłane przez niego (znane jako metryki), a nawet wtedy nadal musi skonsultować się z profilem (pomyśl o tym jako o stronie ustawień dla dowolnej aplikacji), który przewoźnik zapisał CIQ specjalnie dla ich instalacji. Jego własnymi słowami:
Drogi Internecie, CarrierIQ robi wiele złych rzeczy. Jest to potencjalne ryzyko dla prywatności użytkownika i użytkownicy powinni mieć możliwość rezygnacji z niego.
Ale ludzie muszą rozpoznać, że istnieje duża różnica między rejestrowaniem zdarzeń, takich jak naciśnięcia klawiszy i adresy URL HTTPS, do bufora debugowania (co samo w sobie jest dość złe), a faktycznym gromadzeniem, przechowywaniem i przesyłaniem tych danych do przewoźników (co się nie zdarza). Po samodzielnej inżynierii odwrotnej CarrierIQ nie widziałem żadnych dowodów na to, że zbierają one coś więcej niż to, co publicznie twierdzili: anonimowe dane metryk. Istnieje duża różnica między „wyglądem, robi coś, gdy naciskam klawisz”, a „wysyła wszystkie moje naciśnięcia klawiszy do operatora!”. Na podstawie tego, co widziałem, w CarrierIQ nie ma kodu, który faktycznie rejestruje naciśnięcia klawiszy dla celów gromadzenia danych. Oczywiście fakt, że w tych wydarzeniach występują haczyki, sugeruje, że przyszłe wersje mogą nadużywać tego rodzaju funkcjonalności, a CIQ powinien zostać pociągnięty do odpowiedzialności i być pod ścisłą kontrolą, aby ten typ naruszenia prywatności nie wystąpił. Ale cały ten hałas jest w większości bezzasadny.
Istnieje wiele powodów do niepokoju z powodu CIQ, ale proszę nie przeskakiwać do wniosków opartych na niekompletnych dowodach.
Pozdrowienia,
Dan Rosenberg
A co z tymi wszystkimi rzeczami, które widzimy na wideo EVO w akcji Trevora Eckharta? Oczywiście, że tam jest, więc o co chodzi? Nie jesteśmy badaczami bezpieczeństwa, profesjonalistami lub innymi, ale jesteśmy kujonami, którzy codziennie czytają o exploitach i bezpieczeństwie. Najlepsze jest to, że HTC ujawnił te zdarzenia w dzienniku, wysyłając je jako anonimowe dane metryczne do aplikacji Carrier IQ. Nadal nie ma dowodów, i nigdy nie było, że którekolwiek z tych danych są wysyłane gdziekolwiek.
Największą rzeczą, którą należy usunąć z tych wiadomości, jest to, że chociaż IQ przewoźnika jest przerażające, a wielu z nas uważa je za złe, zapewniają one jedynie usługę gromadzenia danych udostępnianych przez przewoźników i producentów OEM. Należy to uczynić bardziej przejrzystym, ponieważ nigdy nie zniknie - jeśli nie podoba ci się, nie korzystaj z naszej sieci, nikt nie trzyma pistoletu przy głowie, prawdopodobnie postawa przewoźników na ten temat, a w sposób, w jaki mają rację. Naszym wyborem jest nie wydawać z nimi pieniędzy, a niebo wie, że rozumiem, jak niepopularny jest ten pomysł z pierwszej ręki. Ale sprawy wyglądają coraz bardziej, jakby przewoźnicy i producenci musieli ponieść większą część winy, a cały ten bałagan to prosty sposób na gromadzenie danych, które już gromadzili.
Kiedy tu skończymy, możemy zacząć patrzeć, jak firmy, które rzuciły się do przodu krzycząc „Nie używamy Carrier IQ na naszych telefonach”, zbierają te same dane z czymś innym niż Carrier IQ, więc możemy być pewni, że zmiany są dokonane we wszystkich kierunkach przeciwko ukrzyżowaniu małej firmy w Dolinie Krzemowej.
Źródło: Vulnfactory; Pastebin
