Android-hakkeri ja ammattimainen tietoturvakonsultti Dan Rosenberg (saatat tuntea hänet Internetin nimellä djrbliss) on suorittanut oman tutkimuksensa Carrier IQ: sta ja löytänyt mielenkiintoisia tuloksia. Kaikkia näitä näppäimistön kirjaamiseen ja tekstiviestien vakoittamiseen liittyviä raportteja näyttää syyllistyneen väärään osapuoleen, koska hänen tutkimus osoittaa, että Carrier IQ sellaisenaan voi tallentaa vain tiedot, jotka operaattori sille lähettää (tunnetaan nimellä metrics), ja jopa silloin on vielä tutkittava profiilia (ajatelkaa sitä minkä tahansa sovelluksen asetussivuna), jonka operaattorilla on ollut CIQ kirjoittaa erityisesti heidän asennustaan varten. Hänen omin sanoin:
Hyvä Internet, CarrierIQ tekee paljon pahoja asioita. Se voi vaarantaa käyttäjän yksityisyyden, ja käyttäjille olisi annettava mahdollisuus luopua siitä.
Mutta ihmisten on ymmärrettävä, että tapahtumien, kuten näppäinpainalluksien ja HTTPS-URL-osoitteiden tallentamisessa virheenkorjauspuskuriin (mikä on itsessään melko huonoa), ja tämän tiedon keräämisen, tallentamisen ja lähettämisen operaattoreille välillä on suuri ero (mitä ei tapahdu).. Itse suunnittelemani CarrierIQ-suunnittelun jälkeen en ole nähnyt todisteita siitä, että he keräävät enemmän kuin mitä he ovat julkisesti väittäneet: nimettömiä mittatietoja. "Katso, se tekee jotain, kun painan näppäintä" ja "se lähettää kaikki näppäinpainallukseni operaattorille!" Välillä on suuri ero. Näkemäni perusteella CarrierIQ: ssa ei ole koodia, joka tosiasiallisesti tallentaisi näppäinpainalluksia tiedonkeruutarkoituksia varten. Tietenkin se, että näissä tapahtumissa on koukkuja, viittaa siihen, että tulevat versiot saattavat väärinkäyttää tämän tyyppisiä toimintoja, ja CIQ: n tulisi olla vastuussa ja oltava tiiviissä valvonnassa, jotta tällaista yksityisyyden loukkaamista ei tapahdu. Mutta kaikki viimeaikainen melu tästä on enimmäkseen perusteetonta.
CIQ: hen on paljon syitä järkyttyä, mutta älä hyppää johtopäätöksiin epätäydellisten todisteiden perusteella.
Terveiset,
Dan Rosenberg
Entä kaikki asiat, jotka näemme Trevor Eckhartin videossa EVO: sta toiminnassa? Se on tietysti siellä, niin mitä siinä kaikki haittaa? Emme ole ammattilaisia tai muuten turvatutkijoita, mutta olemme nörttejä, jotka lukevat hyväksikäytöstä ja turvallisuudesta joka päivä. Paras mitä voimme kuvitella on, että HTC on paljastanut nämä tapahtumat lokiin lähettäessään sitä nimettömänä metritiedona Carrier IQ -sovellukseen. Vielä ei ole todisteita, eikä koskaan ollut, että mitään näistä tiedoista lähetetään minnekään.
Suurin asia tämän uutisen poistamiseen on, että vaikka Carrier IQ on pelottava ja monet meistä pitävät niitä paheina, he tarjoavat vain palvelun tietojen keräämiseksi, jonka operaattorit ja OEM: t saavat saataville. Tästä on tehtävä avoimempi, koska se ei koskaan mene pois - jos et pidä siitä, älä käytä verkkoamme, kukaan ei pidä aseesi pään päällä todennäköisesti kantajien kantaa asiaan, ja tavalla he ovat oikeassa. Valintamme asiassa on, että emme kuluta rahaa heidän kanssaan, ja taivas tietää, että ymmärrän kuinka epäsuosittu kyseinen idea on ensikäden. Mutta asiat näyttävät yhä siltä, että liikenteenharjoittajien ja valmistajien on jaettava paljon syyllisyyttä täällä, ja tämä koko sotku on ohi helppo tapa kerätä tietoja, joita he ovat jo keränneet.
Kun olemme valmistuneet täällä, voimme alkaa tarkastella, kuinka yritykset, jotka ryntäsivät eteenpäin huutaen "Emme käytä Carrier IQ -puhelimia", keräävät samoja tietoja jollain muulla kuin Carrier IQ: lla, joten voimme olla varmoja, että muutokset tapahtuvat tehdään kautta linjan verrattuna pienen yrityksen pilaamiseen Piilaaksossa.
Lähde: Haavoittuva; pastebin
