Ο χάκερ Android και ο επαγγελματικός σύμβουλος ασφαλείας Dan Rosenberg (μπορείτε να τον γνωρίσετε ως djrbliss από τους Internets) ολοκλήρωσε τη δική του μελέτη για το Carrier IQ και βρήκε μερικά ενδιαφέροντα αποτελέσματα. Όλες αυτές οι αναφορές σχετικά με την καταγραφή πληκτρολογίων και την κατασκοπεία σε μηνύματα SMS φαίνονται να έχουν κατηγορηθεί για λάθος μέρος, καθώς η έρευνά του δείχνει ότι το Carrier IQ, όπως έχει γραφτεί, μπορεί να καταγράψει μόνο τα δεδομένα που του στέλνει ο μεταφορέας (γνωστά ως μετρήσεις) εξακολουθεί να πρέπει να συμβουλευτεί ένα προφίλ (σκεφτείτε το ως μια σελίδα ρυθμίσεων για οποιαδήποτε εφαρμογή) που ένας μεταφορέας έχει γράψει στο CIQ ειδικά για την εγκατάστασή του. Με τα δικά του λόγια:
Αγαπητέ Διαδίκτυο, Το CarrierIQ κάνει πολλά κακά πράγματα. Είναι δυνητικός κίνδυνος για την ιδιωτική ζωή των χρηστών και πρέπει να δοθεί στους χρήστες η δυνατότητα να εξαιρεθούν από αυτό.
Αλλά οι άνθρωποι πρέπει να αναγνωρίσουν ότι υπάρχει μεγάλη διαφορά μεταξύ των γεγονότων καταγραφής, όπως οι πληκτρολογήσεις και των διευθύνσεων HTTPS σε ένα προσωρινό buffer (το οποίο είναι αρκετά κακό από μόνο του) και στην πραγματικότητα συλλέγοντας, αποθηκεύοντας και διαβιβάζοντας αυτά τα δεδομένα στους μεταφορείς (κάτι που δεν συμβαίνει). Μετά την αντίστροφη μηχανική CarrierIQ, δεν έχω δει κανένα στοιχείο ότι συλλέγει τίποτα περισσότερο από ό, τι έχουν δηλώσει δημοσίως: ανώνυμα δεδομένα μετρήσεων. Υπάρχει μια μεγάλη διαφορά μεταξύ "εμφάνιση, κάνει κάτι όταν πατάω ένα κλειδί" και "στέλνει όλες τις πληκτρολογήσεις μου στον μεταφορέα!". Με βάση αυτά που έχω δει, δεν υπάρχει κανένας κώδικας στο CarrierIQ που να καταγράφει πραγματικά πληκτρολογήσεις για σκοπούς συλλογής δεδομένων. Φυσικά, το γεγονός ότι υπάρχουν άγκιστρα σε αυτά τα γεγονότα υποδηλώνει ότι οι μελλοντικές εκδόσεις ενδέχεται να καταχραστούν αυτό το είδος λειτουργικότητας και το CIQ θα πρέπει να λογοδοτεί και να υπόκειται σε προσεκτική εξέταση, ώστε να μην συμβεί αυτό το είδος ιδιωτικής εισβολής. Αλλά όλος ο πρόσφατος θόρυβος είναι αβάσιμος.
Υπάρχουν πολλοί λόγοι που πρέπει να διαταραχθούν για το CIQ, αλλά παρακαλώ μην περάσετε σε συμπεράσματα που βασίζονται σε ελλιπή αποδεικτικά στοιχεία.
Χαιρετισμοί,
Dan Rosenberg
Και τι γίνεται με όλα τα πράγματα που βλέπουμε στο βίντεο του Trevor Eckhart του EVO σε δράση; Είναι προφανές εκεί, έτσι τι συμβαίνει με όλα αυτά; Δεν είμαστε ερευνητές της ασφάλειας, επαγγελματίες ή άλλως, αλλά είμαστε κακοπαθείς που διαβάζουν καθημερινά για τα κατορθώματα και την ασφάλεια. Το καλύτερο που μπορούμε να καταλάβουμε είναι ότι η HTC εξέθεσε αυτά τα συμβάντα στο αρχείο καταγραφής ενώ την έστειλε ως ανώνυμα μετρικά δεδομένα στην εφαρμογή Carrier IQ. Δεν υπάρχουν ακόμα στοιχεία και ποτέ δεν ήταν ότι κανένα από αυτά τα δεδομένα αποστέλλεται οπουδήποτε.
Το μεγαλύτερο πράγμα που πρέπει να απομακρυνθεί από αυτές τις ειδήσεις είναι ότι ενώ ο Carrier IQ είναι τρομακτικό και πολλοί από εμάς τους θεωρούν κακό, παρέχουν μόνο μια υπηρεσία για τη συλλογή δεδομένων που διαθέτουν οι μεταφορείς και οι ΚΑΕ. Αυτό πρέπει να γίνει πιο διαφανές, διότι δεν πρόκειται ποτέ να πάει μακριά - αν δεν σας αρέσει να μην χρησιμοποιήσετε το δίκτυό μας, κανείς δεν κρατάει όπλο στο κεφάλι σας είναι πιθανό η θέση των μεταφορέων για το θέμα, και με τρόπο που έχουν δίκιο. Η επιλογή μας στο θέμα είναι να μην ξοδέψουμε τα χρήματά μας μαζί τους, και ο ουρανός ξέρει ότι καταλαβαίνω πόσο δημοφιλής είναι αυτή η ιδέα από πρώτο χέρι. Αλλά τα πράγματα φαίνονται όλο και περισσότερο σαν τους μεταφορείς και οι κατασκευαστές πρέπει να μοιραστούν ένα καλό κομμάτι της ευθύνης εδώ και αυτό το χάος είναι πάνω από έναν εύκολο τρόπο συλλογής δεδομένων που έχουν ήδη συλλέξει.
Όταν τελειώσουμε εδώ, μπορούμε να αρχίσουμε να εξετάζουμε πώς οι εταιρείες που έσπευσαν να φωνάζουν "Δεν χρησιμοποιούμε Carrier IQ στα τηλέφωνά μας" συγκεντρώνουν τα ίδια δεδομένα με κάτι διαφορετικό από το Carrier IQ, έτσι μπορούμε να είμαστε σίγουροι ότι οι αλλαγές είναι που έγιναν απέναντι σε μια μικρή εταιρεία στο Silicon Valley.
Πηγή: Vulnfactory; Pastebin
