Хакер Android и профессиональный консультант по безопасности Дэн Розенберг (вы, возможно, знаете его как djrbliss из Интернета) закончил свое собственное исследование Carrier IQ и нашел некоторые интересные результаты. Все эти сообщения о регистрации нажатий клавиш и слежке за SMS-сообщениями, по-видимому, были обвинены не той стороной, так как его исследование показывает, что Carrier IQ в письменном виде может захватывать только те данные, которые ему отправляет носитель (известные как метрики), и даже тогда по-прежнему приходится обращаться к профилю (представьте, что это страница настроек для любого приложения), которую носитель написал CIQ специально для своей установки. По его собственным словам:
Уважаемый интернет, CarrierIQ делает много плохих вещей. Это потенциальный риск для конфиденциальности пользователей, и пользователям должна быть предоставлена возможность отказаться от нее.
Но люди должны понимать, что существует большая разница между записью событий, таких как нажатия клавиш и URL-адреса HTTPS, в буфер отладки (что само по себе довольно плохо), и фактическим сбором, хранением и передачей этих данных носителям (что не происходит), После реверс-инжиниринга CarrierIQ я не увидел никаких доказательств того, что они собирают что-то большее, чем то, о чем они публично заявляли: анонимные данные метрик. Существует большая разница между «смотрите, он что-то делает, когда я нажимаю клавишу» и «он посылает все мои нажатия клавиш оператору!». Исходя из того, что я видел, в CarrierIQ нет кода, который бы записывал нажатия клавиш для сбора данных. Конечно, тот факт, что в этих событиях есть зацепки, говорит о том, что будущие версии могут злоупотреблять этим типом функциональности, и CIQ следует привлекать к ответственности и тщательно следить за тем, чтобы такого рода вторжение в частную жизнь не происходило. Но весь недавний шум на этом в основном необоснован.
Есть много причин расстраиваться по поводу CIQ, но, пожалуйста, не спешите с выводами, основанными на неполных доказательствах.
С Уважением,
Дэн Розенберг
Так что насчет всего, что мы видим на видео Тревора Экхарта о EVO в действии? Это очевидно там, так что со всем этим? Мы не исследователи безопасности, профессионалы или нет, но мы ботаники, которые читают о подвигах и безопасности каждый день. Лучшее, что мы можем понять, это то, что HTC выставила эти события в журнал, отправляя их в виде анонимных метрических данных в приложение Carrier IQ. До сих пор нет никаких доказательств того, что какие-либо из этих данных отправляются куда-либо.
Самая важная вещь, которую стоит отнять от этой новости, - то, что Carrier IQ страшен, и многие из нас считают их злыми, они предоставляют только услугу для сбора данных, которые носители и OEM-производители делают доступными. Это нужно сделать более прозрачным, потому что оно никогда не исчезнет - если вам это не нравится, не пользуйтесь нашей сетью, никто не приставляет пистолет к вашей голове, скорее всего, это позиция перевозчиков по этому вопросу, и в как они правы. Наш выбор в этом вопросе состоит в том, чтобы не тратить наши деньги с ними, и небеса знают, что я понимаю, насколько непопулярна эта идея из первых рук. Но все больше и больше похоже на то, что перевозчики и производители должны разделить здесь большую часть вины, и весь этот беспорядок закончился простым способом сбора данных, которые они уже собирали.
Когда мы закончим здесь, мы можем начать смотреть на то, как компании, которые бросились вперёд выкрикивать «Мы не используем Carrier IQ на наших телефонах», собирают одни и те же данные с чем-то иным, чем Carrier IQ, поэтому мы можем быть уверены, что изменения сделанный через правление против распятия маленькой компании в Силиконовой долине.
Источник: Vulnfactory; Pastebin
