Хакер за Android и професионален консултант по сигурността Дан Розенберг (може би го познавате като djrbliss от Интернетите) е завършил собствено проучване на Carrier IQ и намери някои интересни резултати. Всички тези отчети за регистриране на натискания на клавиши и шпиониране на SMS съобщения изглеждат обвинени в грешната страна, тъй като изследванията му показват, че Carrier IQ, както е написано, може да улавя само данните, които превозвачът му изпраща (известни като метрики), и дори тогава все още трябва да се консултирате с профил (помислете за това като страница с настройки за всяко приложение), че превозвачът е написал CIQ специално за тяхната инсталация. По собствените му думи:
Уважаеми Интернет, CarrierIQ прави много лоши неща. Това е потенциален риск за поверителността на потребителите и на потребителите трябва да се предостави възможност да се откажат от него.
Но хората трябва да признаят, че има голяма разлика между записването на събития като натискания на клавиши и HTTPS URL до буфер за отстраняване на грешки (което е доста лошо само по себе си), и всъщност събирането, съхраняването и предаването на тези данни на превозвачите (което не се случва), След като обърнах себе си CarrierIQ, не видях никакви доказателства, че те събират нещо повече от това, което публично са заявили: анонимни данни от показатели. Има голяма разлика между „виж, прави нещо, когато натисна клавиш“ и „изпраща всичките си натискания на клавиша към превозвача!“. Въз основа на видяното в CarrierIQ няма код, който всъщност да записва натискания на клавиши за целите на събирането на данни. Разбира се, фактът, че има куки в тези събития, подсказва, че бъдещите версии могат да злоупотребяват с този тип функционалност, а CIQ трябва да бъде подведен под отговорност и да бъде под строг контрол, за да не се стигне до този вид инвазия в поверителността. Но целият скорошен шум по този въпрос е най-вече неоснователен.
Има много причини да се разстройвате по отношение на CIQ, но моля, не пристъпвайте към заключения въз основа на непълни доказателства.
За разбирането,
Дан Розенберг
И така, какво ще кажете за всички неща, които виждаме във видеото на Тревър Екхарт на EVO в действие? Очевидно е там, така че какво става с всичко това? Ние не сме изследователи по сигурността, професионални или по друг начин, но сме глупаци, които четем за подвизи и сигурност всеки ден. Най-доброто, което можем да разберем е, че HTC е изложил тези събития на дневника, докато го е изпращал като анонимни метрични данни към приложението Carrier IQ. Все още няма доказателства и никога не е било, че някоя от тези данни се изпраща навсякъде.
Най-голямото нещо, което трябва да се отнеме от тази новина е, че докато Carrier IQ е страшно и много от нас ги смятат за зли, те предоставят само услуга за събиране на данни, които операторите и производителите на OEM предоставят. Това трябва да стане по-прозрачно, защото това никога няма да изчезне - ако не ви харесва, не използвайте нашата мрежа, никой не държи пистолет за главата си, вероятно е носачите да се оправят по темата и в начин те са прави. Изборът ни по въпроса е да не харчим парите си с тях и небето знае, че разбирам колко непопулярна е тази идея от първа ръка. Но нещата изглеждат все повече и повече, като превозвачите и производителите трябва да споделят добра част от вината тук и цялата тази бъркотия е над лесен начин за събиране на данни, които вече са събирали.
Когато приключим тук, можем да започнем да гледаме как компаниите, които се втурнаха напред, викайки „Не използваме Carrier IQ на нашите телефони“, събират същите данни с нещо различно от Carrier IQ, така че можем да сме сигурни, че промените са направени от цялата страна срещу разпъването на малка компания в Силиконовата долина.
Източник: Vulnfactory; Pastebin
