Az Android hackere és Dan Rosenberg professzionális biztonsági tanácsadó (ismeri őt az internetek djrbliss- ként) elkészítette saját tanulmányát a Carrier IQ-ról, és érdekes eredményeket talált. A billentyűleütések naplózásáról és az SMS-ek kémkedéséről szóló jelentéseket rossz félnek vádolják, mivel kutatásai azt mutatják, hogy a Carrier IQ írott formájában csak azokat az adatokat gyűjtheti, amelyeket a szállító küldött neki (metrikáknak nevezik), és akkor is továbbra is meg kell keresnie egy olyan profilt (gondoljon rá, mint bármely alkalmazás beállítási oldalára), amelyet a szolgáltató CIQ-nak írt kifejezetten a telepítéshez. Saját szavaival:
Kedves Internet, A CarrierIQ sok rossz dolgot csinál. Ez potenciális kockázatot jelent a felhasználói magánélet védelme szempontjából, és a felhasználók számára lehetőséget kell biztosítani arra, hogy leiratkozhassanak belőle.
De az embereknek fel kell ismerniük, hogy nagy különbség van az események, mint például a billentyűleütések és a HTTPS URL-ek hibakeresési pufferbe történő felvétele között (ami önmagában elég rossz), és ezen adatok tényleges összegyűjtése, tárolása és továbbítása a hordozók számára (ami nem történik meg).. A CarrierIQ fordított tervezése után nem láttam bizonyítékot arra, hogy a nyilvános állításukon túl más információkat gyűjtenek: a névtelenített metrikák adatait. Nagyon nagy a különbség a „nézz, csinál valamit, amikor megnyomok egy gombot” és „az összes billentyűzet küldése a hordozónak!” Között. A látvány alapján a CarrierIQ-ben nincs olyan kód, amely valóban rögzíti a billentyűleütéseket adatgyűjtés céljából. Természetesen az a tény, hogy ezekben az eseményekben vannak horgok, azt sugallja, hogy a jövőbeli verziók visszaélhetnek az ilyen típusú funkciókkal, és a CIQ-t felelősségre kell vonni, és szoros ellenőrzés alatt kell tartani, hogy ez a típusú magánéletvédelmi támadás ne forduljon elő. De az ehhez kapcsolódó legutóbbi zaj többnyire megalapozatlan.
Számos oka van annak, hogy idegesítsük a CIQ-t, de kérjük, ne ugorjon a hiányos bizonyítékokon alapuló következtetésekre.
Üdvözlettel,
Dan Rosenberg
Tehát mi lenne azokkal a dolgokkal, amelyeket Trevor Eckhart videójában láthatunk az EVO működésében? Nyilvánvalóan ott van, szóval mi az egész? Nem vagyunk biztonsági kutatók, sem professzionális, sem egyébként, ám olyan szurkok, akik minden nap olvasnak a kizsákmányolásról és a biztonságról. A legjobban kitalálhatjuk, hogy a HTC ezeket az eseményeket a naplóba tette, miközben névtelen metrikus adatokként továbbította a Carrier IQ alkalmazáshoz. Még mindig nincs bizonyíték, és még soha sem volt az, hogy ezen adatok bármelyikét sehol elküldik.
A legfontosabb dolog, amit elhúzhatunk ebből a hírből, az az, hogy míg a Carrier IQ félelmetes, és sokan gonosznak tartják őket, csak olyan szolgáltatást nyújtanak, amely olyan adatgyűjtést nyújt, amelyet a szállítmányozók és az OEM-ek rendelkezésre bocsátanak. Ezt átláthatóbbá kell tenni, mert soha nem fog menni - ha nem tetszik, akkor ne használja hálózatunkat, akkor senki sem tart a fegyveréhez a fejét, valószínűleg a hordozók állnak a témában, és így van nekik igaza. Ebben az esetben az a döntésünk, hogy nem költenek pénzünket velük, és a menny tudja, hogy megértem, mennyire népszerűtlen ez az ötlet. De a dolgok egyre inkább úgy néznek ki, mintha a fuvarozóknak és a gyártóknak itt meg kell osztaniuk a hibát, és ez az egész rendetlenség egy egyszerű módszer a begyűjtött adatok gyűjtésére.
Amikor itt készen állunk, megnézhetjük, hogy azok a vállalatok, amelyek rohantak előre: "Mi nem használjuk a Carrier IQ-t a telefonunkon", ugyanazokat az adatokat gyűjtik valami mással, mint a Carrier IQ, így biztosak lehetünk abban, hogy a változások átfogóan, szemben a Szilícium-völgyben működő kis társaság megfeszítésével.
Forrás: Vulnfactory; pastebin
