Hacker pre Android a profesionálny bezpečnostný konzultant Dan Rosenberg (možno ho poznáte ako djrbliss z Internets) ukončil štúdiu Carrier IQ a našiel zaujímavé výsledky. Zdá sa, že všetky tieto správy o zaznamenávaní stlačení klávesov a sledovaní správ SMS boli obviňované za nesprávnu stranu, pretože jeho výskum ukazuje, že spoločnosť Carrier IQ tak, ako je napísaná, môže zachytávať iba údaje, ktoré jej dopravca posiela (známe ako metriky), a dokonca aj potom stále musí nahliadnuť do profilu (považujte ho za stránku nastavení pre ľubovoľnú aplikáciu), ktorú dopravca nechal napísať CIQ špecificky pre svoju inštaláciu. Podľa jeho vlastných slov:
Vážený internet, CarrierIQ robí veľa zlých vecí. Je to potenciálne riziko pre súkromie používateľa a používateľom by sa mala dať možnosť odhlásiť sa.
Ľudia však musia uznať, že medzi nahrávaním udalostí, ako sú stlačenia klávesov a adresy URL HTTPS, do vyrovnávacej pamäte ladenia (čo je samo osebe dosť zlé) je veľký rozdiel a skutočne zhromažďuje, ukladá a prenáša tieto údaje na operátorov (čo sa nestane), Po reverznom inžinierstve samotnom CarrierIQ som nevidel žiadne dôkazy o tom, že zhromažďujú viac, ako to, čo verejne tvrdia: anonymizované údaje metrík. Je veľký rozdiel medzi „vzhľadom, niečo urobím, keď stlačím kláves“ a „zasielaním všetkých klávesových skratiek operátorovi!“. Na základe toho, čo som videl, v systéme CarrierIQ neexistuje žiadny kód, ktorý by skutočne zaznamenával stlačenia klávesov na účely zhromažďovania údajov. Skutočnosť, že v týchto udalostiach sú háčiky, samozrejme naznačuje, že budúce verzie môžu zneužívať tento typ funkcionality, a CIQ by sa mali zodpovedať a mali by byť pod prísnym dohľadom, aby nedošlo k takémuto narušeniu súkromia. Ale všetok súčasný hluk je väčšinou neopodstatnený.
Existuje veľa dôvodov na znepokojenie ohľadom CIQ, ale neskakujte na závery založené na neúplných dôkazoch.
S pozdravom,
Dan Rosenberg
Takže čo všetko, čo vidíme na videu EVO v akcii Trevor Eckhartovej? Očividne to je, tak čo sa deje so všetkým tým? Nie sme výskumní pracovníci v oblasti bezpečnosti, profesionáli alebo inak, ale sme hlupáci, ktorí každý deň čítajú o zneužívaní a zabezpečení. Najlepšie je zistiť, že spoločnosť HTC tieto udalosti vystavila protokolu, zatiaľ čo ich odoslala ako anonymné metrické údaje do aplikácie Carrier IQ. Stále neexistuje dôkaz o tom, že by sa akékoľvek z týchto údajov posielalo kamkoľvek.
Najväčšou vecou, ktorú si z tejto správy odnesiete, je to, že zatiaľ čo spoločnosť Carrier IQ je desivá a mnohí z nás ich považujú za zlých, poskytujú iba službu na zhromažďovanie údajov, ktoré sprístupňujú dopravcovia a OEM. Toto je potrebné sprehľadniť, pretože to nikdy nezmizne - ak sa vám nepáči, nepoužívajte našu sieť, nikto nedrží zbraň na hlavu, pravdepodobne sa nositelia postavia k téme a tak, ako majú pravdu. Našou voľbou v tejto veci je, že s nimi nebudeme míňať svoje peniaze, a nebo nevie, že rozumiem, aký nepopulárny je tento nápad z prvej ruky. Ale veci vyzerajú stále viac a viac, pretože dopravcovia a výrobcovia musia zdieľať veľkú časť viny a celý tento problém je ľahký spôsob, ako zbierať údaje, ktoré už zbierali.
Keď tu skončíme, môžeme začať skúmať, ako spoločnosti, ktoré sa vrhli vpred a kričali: „Nepoužívame Carrier IQ na našich telefónoch“, zhromažďujú rovnaké údaje s niečím iným ako Carrier IQ, takže si môžeme byť istí, že zmeny sú vyrobené krížom oproti krížu malej spoločnosti v Silicon Valley.
Zdroj: Vulnfactory; Pastebin
