Der Android-Hacker und professionelle Sicherheitsberater Dan Rosenberg (Sie kennen ihn vielleicht als djrbliss aus dem Internet) hat seine eigene Studie zu Carrier IQ abgeschlossen und einige interessante Ergebnisse erzielt. Alle diese Berichte über das Protokollieren von Tastenanschlägen und das Ausspionieren von SMS-Nachrichten scheinen der falschen Partei angelastet worden zu sein, da seine Untersuchungen zeigen, dass Carrier IQ wie geschrieben nur die Daten erfassen kann, die der Carrier an ihn sendet (sogenannte Metriken), und selbst dann Es muss immer noch ein Profil abgerufen werden (als Einstellungsseite für jede App), das von einem Netzbetreiber speziell für die Installation von CIQ geschrieben wurde. Mit seinen eigenen Worten:
Liebes Internet, CarrierIQ macht viele schlechte Dinge. Dies ist ein potenzielles Risiko für die Privatsphäre der Benutzer, und den Benutzern sollte die Möglichkeit eingeräumt werden, sich dagegen zu entscheiden.
Die Leute müssen jedoch erkennen, dass es einen großen Unterschied gibt, ob Ereignisse wie Tastatureingaben oder HTTPS-URLs in einem Debug-Puffer aufgezeichnet werden (was für sich genommen ziemlich schlecht ist) oder ob diese Daten tatsächlich gesammelt, gespeichert und an Datenträger übertragen werden (was nicht der Fall ist).. Nach dem Reverse Engineering von CarrierIQ selbst habe ich keine Beweise dafür gesehen, dass sie mehr sammeln, als sie öffentlich behauptet haben: anonymisierte Messdaten. Es gibt einen großen Unterschied zwischen "Look, es macht etwas, wenn ich eine Taste drücke" und "Es sendet alle meine Tastenanschläge an den Träger!". Basierend auf dem, was ich gesehen habe, gibt es in CarrierIQ keinen Code, der tatsächlich Tastenanschläge für Datenerfassungszwecke aufzeichnet. Die Tatsache, dass diese Ereignisse Hooks enthalten, deutet natürlich darauf hin, dass zukünftige Versionen diese Art von Funktionalität möglicherweise missbrauchen, und CIQ sollte zur Rechenschaft gezogen und einer genauen Prüfung unterzogen werden, damit diese Art der Verletzung der Privatsphäre nicht auftritt. Aber all der Lärm der letzten Zeit ist größtenteils unbegründet.
Es gibt viele Gründe, sich über CIQ zu ärgern, aber ziehen Sie bitte keine Schlussfolgerungen, die auf unvollständigen Beweisen beruhen.
Grüße,
Dan Rosenberg
Was ist mit all dem Zeug, das wir auf Trevor Eckharts Video der EVO in Aktion sehen? Es ist offensichtlich da, also was ist mit all dem los? Wir sind keine professionellen oder sonstigen Sicherheitsforscher, aber wir sind Nerds, die jeden Tag über Exploits und Sicherheit lesen. Das Beste, was wir herausfinden können, ist, dass HTC diese Ereignisse im Protokoll angezeigt hat, während es sie als anonyme Metrikdaten an die Carrier IQ-App sendet. Es gibt immer noch keine Beweise dafür, dass diese Daten irgendwohin gesendet werden.
Das Wichtigste an diesen Nachrichten ist, dass Carrier IQ zwar beängstigend ist und viele von uns sie für böse halten, sie jedoch nur einen Service bieten, um Daten zu sammeln, die von Carriern und OEMs zur Verfügung gestellt werden. Dies muss transparenter gemacht werden, da es niemals vergehen wird - wenn Sie es nicht mögen, nutzen Sie unser Netzwerk nicht, niemand hält eine Waffe an Ihren Kopf, ist wahrscheinlich die Haltung des Betreibers zu diesem Thema und in So haben sie recht. Wir haben die Wahl, unser Geld nicht mit ihnen auszugeben, und der Himmel weiß, dass ich verstehe, wie unbeliebt diese Idee aus erster Hand ist. Aber die Dinge sehen immer mehr so aus, als müssten die Spediteure und Hersteller hier ein gutes Stück der Schuld teilen, und dieses ganze Durcheinander ist eine einfache Möglichkeit, Daten zu sammeln, die sie bereits gesammelt haben.
Wenn wir hier fertig sind, können wir uns ansehen, wie die Unternehmen, die sich mit den Worten "Wir verwenden Carrier IQ nicht für unsere Telefone" beeilen, dieselben Daten mit etwas anderem als Carrier IQ sammeln, sodass wir sicher sein können, dass Änderungen eintreten gemacht auf ganzer Linie gegen Kreuzigung einer kleinen Firma im Silicon Valley.
Quelle: Vulnfactory; Pastebin
