Android-hacker og professionel sikkerhedskonsulent Dan Rosenberg (du kender ham muligvis djrbliss fra Internets) har afsluttet sin egen undersøgelse af Carrier IQ og fundet nogle interessante resultater. Alle disse rapporter om at logge tastetryk og spionere på SMS-beskeder ser ud til at have fået den skyld i den forkerte part, da hans forskning viser, at Carrier IQ som skrevet kun kan fange de data, som transportøren sender til den (kendt som metrics), og selv da er stadig nødt til at konsultere en profil (tænk på den som en indstillingsside for enhver app), som en udbyder har haft CIQ til at skrive specifikt til deres installation. Med sine egne ord:
Kære internet, CarrierIQ gør en masse dårlige ting. Det er en potentiel risiko for brugerens privatliv, og brugerne skal have mulighed for at fravælge det.
Men folk er nødt til at erkende, at der er en stor forskel mellem registrering af begivenheder som tastetryk og HTTPS-URL'er til en debugging-buffer (som i sig selv er temmelig dårlig), og faktisk indsamling, lagring og transmission af disse data til transportører (hvilket ikke sker). Efter reverse engineering CarrierIQ har jeg ikke set noget bevis for, at de indsamler noget mere end hvad de offentligt har hævdet: anonymiserede metriske data. Der er en stor forskel mellem "se, det gør noget, når jeg trykker på en tast" og "det sender alle mine tastetryk til transportøren!". Baseret på hvad jeg har set, er der ingen kode i CarrierIQ, der faktisk registrerer tastetryk til dataindsamlingsformål. Det faktum, at der er kroge i disse begivenheder, tyder naturligvis på, at fremtidige versioner kan misbruge denne type funktionalitet, og CIQ skal holdes ansvarlig og være under nøje kontrol, så denne type privatlivsinvasion ikke forekommer. Men al den nylige støj på dette er for det meste ubegrundet.
Der er masser af grunde til at være foruroliget over CIQ, men du skal ikke springe til konklusioner baseret på ufuldstændige beviser.
Hilsen,
Dan Rosenberg
Så hvad med alle de ting, vi ser på Trevor Eckharts video af EVO i aktion? Det er åbenlyst der, så hvad sker der med alt det? Vi er ikke sikkerhedsforskere, professionelle eller på anden måde, men vi er nerder, der læser om udnyttelse og sikkerhed hver dag. Det bedste, vi kan regne med, er, at HTC har udsat disse begivenheder for loggen, mens de sendte dem som anonyme metriske data til Carrier IQ-appen. Der er stadig ingen bevis for, og aldrig var, at nogen af disse data sendes overalt.
Den største ting at fjerne fra denne nyhed er, at selvom Carrier IQ er skræmmende, og mange af os betragter dem som onde, leverer de kun en service til indsamling af data, som transportører og OEM'er stiller til rådighed. Dette skal gøres mere gennemsigtigt, fordi det aldrig vil forsvinde - hvis du ikke kan lide det ikke bruger vores netværk, er der ingen, der holder en pistol mod dit hoved, er sandsynligvis transportørernes holdning til emnet, og i en måde, de har ret på. Vores valg i sagen er at ikke bruge vores penge med dem, og himlen ved jeg forstår, hvor upopulær denne idé er førstehånds. Men ting ligner mere og mere som transportører og producenter har brug for at dele en god del af skylden her, og hele dette rod er over en nem måde at indsamle data, de allerede har indsamlet.
Når vi er færdige her, kan vi begynde at se på, hvordan de virksomheder, der skyndte sig med at råbe "Vi bruger ikke Carrier IQ på vores telefoner" indsamler de samme data med noget andet end Carrier IQ, så vi kan være sikre på, at ændringer er lavet overalt end korsfæstelse af et lille firma i Silicon Valley.
Kilde: Vulnfactory; Pastebin
