Android-hacker en professionele beveiligingsadviseur Dan Rosenberg (je kent hem misschien als djrbliss van de Internets) heeft zijn eigen studie over Carrier IQ voltooid en enkele interessante resultaten gevonden. Al die rapporten over het vastleggen van toetsaanslagen en het bespioneren van sms-berichten lijken de schuld te hebben van de verkeerde partij, omdat zijn onderzoek aantoont dat Carrier IQ zoals geschreven alleen de gegevens kan vastleggen die de koerier ernaar stuurt (ook bekend als metrics), en zelfs dan moet nog steeds een profiel raadplegen (zie het als een instellingenpagina voor elke app) dat een koerier CIQ specifiek voor hun installatie heeft laten schrijven. In zijn eigen woorden:
Geachte internet, CarrierIQ doet veel slechte dingen. Het is een potentieel risico voor de privacy van gebruikers, en gebruikers moeten de mogelijkheid krijgen om hiervan af te zien.
Maar mensen moeten erkennen dat er een groot verschil is tussen het opnemen van gebeurtenissen zoals toetsaanslagen en HTTPS-URL's naar een foutopsporingsbuffer (wat op zichzelf best slecht is), en het feitelijk verzamelen, opslaan en verzenden van deze gegevens naar vervoerders (wat niet gebeurt). Na CarrierIQ zelf te reverse-engineering, heb ik geen bewijs gezien dat ze iets meer verzamelen dan wat ze publiekelijk hebben beweerd: geanonimiseerde metriekgegevens. Er is een groot verschil tussen "kijk, het doet iets als ik op een toets druk" en "het stuurt al mijn toetsaanslagen naar de koerier!". Op basis van wat ik heb gezien, bevat CarrierIQ geen code die toetsaanslagen registreert voor het verzamelen van gegevens. Het feit dat er haken in deze evenementen zijn, suggereert natuurlijk dat toekomstige versies dit soort functionaliteit kunnen misbruiken, en CIQ moet verantwoordelijk worden gehouden en nauwlettend in de gaten worden gehouden, zodat dit soort privacyinbreuk niet optreedt. Maar alle recente ruis hierover is grotendeels ongegrond.
Er zijn genoeg redenen om overstuur te raken over CIQ, maar ga alsjeblieft niet te snel conclusies te trekken op basis van onvolledig bewijs.
Vriendelijke groeten,
Dan Rosenberg
Dus hoe zit het met alle dingen die we zien op Trevor Eckhart's video van de EVO in actie? Het is duidelijk daar, dus wat is daar aan de hand? We zijn geen beveiligingsonderzoekers, professioneel of anderszins, maar we zijn nerds die elke dag over exploits en beveiliging lezen. Het beste dat we kunnen achterhalen, is dat HTC deze gebeurtenissen aan het logboek heeft blootgesteld en deze als anonieme metrische gegevens naar de Carrier IQ-app heeft verzonden. Er is nog steeds geen bewijs, en nooit was, dat een van die gegevens ergens naartoe wordt verzonden.
Het grootste ding om van dit nieuws weg te nemen, is dat hoewel Carrier IQ eng is en velen van ons ze slecht vinden, ze alleen een service bieden om gegevens te verzamelen die vervoerders en OEM's beschikbaar stellen. Dit moet transparanter worden gemaakt, omdat het nooit zal verdwijnen - als je het niet leuk vindt, maak dan geen gebruik van ons netwerk, niemand houdt een pistool tegen je hoofd, waarschijnlijk is de houding van de koeriers over het onderwerp, en in een manier waarop ze gelijk hebben. Onze keuze is om ons geld niet met hen uit te geven, en de hemel weet dat ik begrijp hoe impopulair dat idee uit de eerste hand is. Maar het lijkt er steeds meer op dat de vervoerders en fabrikanten hier een groot deel van de schuld moeten delen, en deze hele puinhoop is een gemakkelijke manier om gegevens te verzamelen die ze al hebben verzameld.
Als we hier klaar zijn, kunnen we beginnen te kijken hoe de bedrijven die naar voren schreeuwden: "We gebruiken Carrier IQ niet op onze telefoons" dezelfde gegevens verzamelen met iets anders dan Carrier IQ, dus we kunnen er zeker van zijn dat veranderingen zijn gemaakt over de hele linie versus kruisiging van een klein bedrijf in Silicon Valley.
Bron: Vulnfactory; Pastebin
