Android korsanları ve profesyonel güvenlik danışmanı Dan Rosenberg (onu Internets'ten djrbliss olarak biliyor olabilirsiniz), Carrier IQ ile ilgili kendi çalışmasını tamamladı ve bazı ilginç sonuçlar buldu. Tuş vuruşlarını kaydetme ve SMS mesajlarına casusluk ile ilgili tüm bu raporlar yanlış taraftan suçlanıyor gibi görünüyor, araştırması gösteriyor ki yazdığı gibi Taşıyıcı IQ sadece taşıyıcıya gönderdiği verileri (metrikler olarak bilinir) ve hatta o zaman gönderdiği verileri yakalayabiliyor. Yine de, bir operatörün kurulumu için özel olarak CIQ yazmış olduğu bir profile (herhangi bir uygulamanın ayarlar sayfası olarak düşünün) danışmalısınız. Kendi sözleriyle:
Sevgili İnternet
CarrierIQ çok fazla kötü şey yapıyor. Bu, kullanıcının gizliliği için potansiyel bir risktir ve kullanıcılara bu seçeneği devre dışı bırakma yeteneği verilmelidir.
Ancak insanların, tuş vuruşlarını ve HTTPS URL'leri gibi olayları hata ayıklama arabelleğine kaydetme (kendi başına oldukça kötü olan) ve aslında bu verileri toplama, saklama ve aktarma işlemlerinin (gerçekleşmeyen) taşıyıcıları arasında büyük bir fark olduğunu fark etmeleri gerekir.. Tersine CarrierIQ mühendisliği yaptıktan sonra, genel olarak iddia ettiklerinden daha fazla bir şey topladıklarına dair hiçbir kanıt görmedim: anonimleştirilmiş metrikler verileri. "Bak, bir tuşa bastığımda bir şeyler yapıyor" ile "tüm tuş vuruşlarımı taşıyıcıya gönderiyor" arasında büyük bir fark var. Gördüklerime dayanarak, CarrierIQ'da veri toplama amacıyla tuş vuruşlarını kaydeden bir kod yoktur. Elbette, bu olaylarda kancaların olması, gelecekteki sürümlerin bu tür işlevsellikleri kötüye kullanabileceğini ve CIQ'nin sorumlu tutulması ve bu tür gizlilik istilasının gerçekleşmemesi için yakın bir inceleme altında olması gerektiğini göstermektedir. Ancak bu konuda tüm son gürültü çoğunlukla asılsız.
CIQ hakkında üzülmek için birçok neden var, ancak lütfen eksik kanıtlara dayanan sonuçlara atlamayın.
Saygılarımızla,
Dan Rosenberg
Peki ya Trevor Eckhart’ın EVO’nun videosu hakkında gördüklerimize ne dersiniz? Belli ki orada, peki bunların nesi var? Biz profesyonel veya başka bir güvenlik araştırmacısı değiliz, ancak her gün istismar ve güvenlik hakkında okuyan inekleriz. Anlayabileceğimiz en iyi şey, HTC'nin bu olayları günlüğe ifşa ederken, aynı zamanda Carrier IQ uygulamasına isimsiz bir metrik veri olarak göndermesidir. Hala bir kanıt yok ve hiçbir zaman, bu verilerin herhangi bir yere gönderildiği değildi.
Bu haberden kaçınmak için en büyük şey, Carrier IQ'nun korkunç olmasına ve çoğumuzun onları kötü olduğunu düşünürken, yalnızca taşıyıcıların ve OEM'in sağladığı verileri toplamak için bir hizmet sunduklarıdır. Bunun daha şeffaf hale getirilmesi gerekiyor, çünkü asla ortadan kalkmayacak - eğer ağımızı kullanmamayı sevmiyorsanız, hiç kimse kafanıza silah tutmuyor, muhtemelen taşıyıcıların konuyla ilgili durması muhtemeldir. haklı oldukları bir yol. Konuyla ilgili tercihimiz paramızı onlarla harcamak değil ve cennet bu fikrin ilk elden ne kadar popüler olmadığını anladığımı biliyor. Fakat işler, taşıyıcılar ve üreticilerin buradaki suçu biraz paylaşması gerekenlere daha fazla benziyor ve bu karışıklık zaten topladıkları verileri toplamak için kolay bir yol.
Burada işimiz bittiğinde, "Telefonlarımızda Carrier IQ kullanmıyoruz" diye bağıran firmaların, Carrier IQ dışında başka bir şeyle aynı verileri nasıl topladıklarına bakmaya başlayabiliriz, böylece değişikliklerin olduğundan emin olabiliriz. yönetim kurulu karşısında Silikon Vadisi'nde küçük bir şirketin çarmıha gerilmesi.
Kaynak: Vulnfactory; pastebin
