Czy Twoje dane w telefonie są bezpieczne? Carrier IQ monitoruje każdy Twój ruch

Wielu z nas zaczyna korzystać ze smartfona rano, a kończy tuż przed zaśnięciem. Zawsze się zastanawiałem, jak bezpieczne są nasze prywatne dane w urządzeniu codziennego użytku. Jak okazuje się, smartfony z Androidem, iPhone czy telefony Nokii, BlackBerry mają dostęp do prywatnych danych dzięki oprogramowaniu firmy Carrier IQ.

Kilka słów o Carrier IQ

Carrier IQ to firma, która opisuje siebie następująco:

Lider w dostarczaniu rozwiązań dla przemysłu związanego z komunikacją bezprzewodową. Jako jedyna firma analityczna wspieramy miliony urządzeń jednocześnie. Dajemy operatorom i twórcom telefonów komórkowych możliwość niespotykanego wglądu w mobilne doświadczenia użytkowe konsumentów.

 

Trevor Eckhart, który wywołał zamieszanie wokół firmy, przedstawia ją z gorszej strony:

Carrier IQ sprzedaje oprogramowanie typu rootkit, które dostępne jest w wielu telefonach w Stanach Zjednoczonych, w tym w sieci Sprint, Verizon, itd. Wspiera ono urządzenia takie jak BlackBerry, Nokia, a także telefony z Androidem.

 

Oprogramowanie, nawet powiedziałbym, spyware, znajduje się w ponad 141 mln telefonów komórkowych na świecie. Czym jest „niespotykany wgląd”, który zapewnia Carrier IQ?

Jak działa Carrier IQ?

Narzędzie dostarczane przez Carrier IQ nie przypadkowo zostało nazwane przeze mnie spyware’em. Wyobraźcie sobie, że rozwiązanie diagnostyczne pozwala śledzić wszystkie działania w smartfonie/telefonie. Firma może zatem sprawdzić, kiedy zakończyliśmy dokładnie połączenie telefoniczne, którzy użytkownicy telefonów rozpoczęli rozmowę o 7:00, jakie klawisze zostały wciśnięte, które aplikacje uruchomione. Nie wspominając o tym, że – jak wyszło w praniu - Carrier IQ ma dostęp do naszych prywatnych wiadomości SMS, rozmów, a także może sprawdzić w danym momencie naszą dokładną lokalizację itd.

Rzetelnie o iCloud – rewolucyjna usługa?

Zamieszanie wokół firmy Carrier IQ wywołał analityk ds. bezpieczeństwa Trevor Eckhart, który dostrzegł, że firma gromadzi prywatne dane oraz najprawdopodobniej wysyła je na serwery. Trevor nie musiał długo czekać na odpowiedź Carrier IQ. Firma nakazała Eckhartowi zaprzestać prac nad dalszym rozpracowywaniem narzędzia diagnostycznego Carrier IQ pod groźbą grzywny za naruszenie praw autorskich w wysokości 150 tys. dolarów. Ewidentnie Trevor był na dobrej drodze do rozwiązania zagadki narzędzia diagnostycznego preinstalowanego w wielu telefonach. Klienci nie mają oczywiście świadomości tego, że są śledzeni.

W jakich urządzeniach znaleziono Carrier IQ?

Informacje na temat oprogramowania Carrier IQ znajdują się w telefonach z Androidem (w tym firmy Samsung oraz HTC, telefony z serii Nexus nie mają preinstalowanej aplikacji Carrier IQ), Symbianem, terminalach BlackBerry, a także w urządzeniach z iOS, w tym w iPhonie (program rejestruje mniejszą liczbę danych), modelach Nokii. Co ciekawe, aplikacja nie może zostać usunięta. Użytkownikom Androida z pomocą przychodzą modyfikowane ROM-y, w tym np. Cyanogemnod, który korzystając z oryginalnego kodu Androida, nie ma preinstalowanego spyware’u Carrier IQ.

W zestawieniu Fierce Wireless są informacje o współpracy firmy Carrier IQ z amerykańskimi operatorami: AT&T, Verizon oraz Sprint, a także z 7 z 10 najpopularniejszych producentów OEM.

Ciekawą odpowiedź uzyskał serwis BGR od rzecznika amerykańskiej sieci Sprint:

Carrier IQ wykorzystywane jest w celu zrozumienia problemów konsumentów związanych z ich urządzeniami, a także naszą siecią. Wszystko po to, abyśmy mogli podjąć akcje mające na celu poprawę jakości naszych usług.

Carrier IQ zbiera wystarczającą ilość informacji do zrozumienia doświadczeń użytkowych klientów naszej sieci. Nie zbieramy informacji na temat prywatnych wiadomości, zdjęć, wideo itd. za pomocą wspomnianego narzędzia.

Uważam, że takie tłumaczenie rzecznika nie do końca wyjaśnia działanie „narzędzia diagnostycznego”. Tym bardziej jeśli to narzędzie, jak twierdzi Eckhart, gromadzi nasze prywatne dane.

Producenci telefonów a zarzuty dotyczące zainstalowanego spyware’u

Nokia odpowiedziała, że na żadnym rynku nie dostarcza urządzeń, w którym zainstalowane jest oprogramowanie CarrierIQ.

Oficjalne oświadczenie firmy Apple dla AllThingsD:

Zaprzestaliśmy wspierać Carrier IQ w oprogramowaniu iOS 5 w większości naszych produktów, usuniemy je w przyszłych aktualizacjach oprogramowania. Na wysyłanie każdych danych diagnostycznych gromadzonych przez naszą firmę użytkownicy muszą wyrazić wcześniejszą zgodę. Nawet wtedy dane te wysyłane są w pełni anonimowo oraz zaszyfrowane, nie zawierają żadnych prywatnych informacji. Nigdy nie zdobywaliśmy informacji związanych z naciśnięciem poszczególnych klawiszy, wiadomościami, innych prywatnych danych. Nigdy nie mieliśmy planów, aby to robić.

 

RIM:

RIM nie preinstaluje aplikacji CarrierIQ na żadnych smartfonach BlackBerry ani też nie pozwala operatorom na takie działania. RIM nie pracował nad rozwojem aplikacji CarrierIQ i nie jest zaangażowany w testowanie, promocję oraz dystrybucję programu. Firma ma zamiar śledzić informacje oraz spekulacje dotyczące Carrier IQ.

 

Oliwy do ognia dolała firma HTC:

 Carrier IQ wymagane jest na wielu telefonach w amerykańskich sieciach telefonii komórkowej. Jeśli klienci oraz media mają jakiekolwiek pytania związane z działaniem Carrier IQ i danymi gromadzonymi przez to narzędzie, powinni się skontaktować właśnie ze swoimi operatorami.

 

Google również zaprzeczył powiązaniom z Carrier IQ:

Nie jesteśmy powiązani w żaden sposób z Carrier IQ. Android jest platformą open source. Nie mamy wpływu na to, jakich modyfikacji dokonają operatorzy i producenci OEM.

 

Microsoft postanowił skorzystać na zamieszaniu, reklamując Windows Phone’a:

Ludzie pytają nas, czy Windows Phone ma preinstalowane narzędzie Carrier IQ. Możemy potwierdzić, że na żadnym telefonie nie ma tego oprogramowania.

 

Aktualnie nie wiemy, czy wszystkie gromadzone dane Carrier IQ  przesyłane są na serwery firmy. Wiadomo, że za zainstalowane oprogramowanie odpowiadają operatorzy, a nie producenci urządzeń. Wystarczy tylko przeczytać powyższe oświadczenia firm: producenci jasno podkreślają, że nie mają żadnego związku z Carrier IQ.

Najczęściej kłamiemy w wiadomościach tekstowych…

Z informacji podanych przez Eckharta możemy wnioskować, że operatorzy mają dostęp do portalu Carrier IQ, w którym są w stanie monitorować każde urządzenie po numerze identyfikacyjnym produktu i abonenta. Administrator portalu może sprawdzić godzinę zakończenia połączenia, np. o 17:00 w Kalifornii. Tym samym może on również określić dokładne położenie konkretnego użytkowania na świecie, a także zdobyć informacje, jakie aplikacje są używane w telefonie.

Jak sprawdzić, czy w telefonie z Androidem jest zainstalowane narzędzie Carrier IQ? 

W Android Markecie dostępna jest aplikacja Voodo Carrier IQ Detector, która – jak sama nazwa wskazuje – pozwala na wykrycie, czy oprogramowanie typu rootkit jest zainstalowane w telefonie.

Na razie nie stwierdzono występowania Carrier IQ w europejskich sieciach.

Jeśli wziąć pod uwagę doniesienia zagranicznych portali, nasuwa się pytanie: czy kosztem bezpieczeństwa międzynarodowego jesteśmy w stanie poświęcić naszą prywatność?

Dla bezpieczeństwa międzynarodowego rozwiązanie Carrier IQ wydaje się idealne. Służby bezpieczeństwa mogą zdobywać informacje o ewentualnych zamachach w momencie, kiedy ktoś wykorzysta telefon w celu ich zorganizowania. Pojawia się jednak problem prywatności, do której prawo ma każdy z nas. Nie wiem jak Wy, ale ja nie życzę sobie, aby moje prywatne wiadomości SMS mógł odczytywać „administrator” witryny dla operatorów. Nie chcę też, aby ktokolwiek wiedział, który aktualnie klawisz naciskam w telefonie. Jest to jawne naruszenie prywatności, prywatności, do której prawo ma każdy z nas.

Nie zdziwiłbym się, gdyby Carrier IQ miało głębsze powiązania z agencjami bezpieczeństwa w Stanach Zjednoczonych. Czy myślicie, że w Europie podobne oprogramowanie śledzi każdy nasz ruch, a to, kiedy znajdziemy informacje o nim, pozostaje tylko kwestią czasu?

Poniżej wideo prezentujące działanie narzędzia Carrier IQ w telefonie z Androidem. Rejestruje ono naciśnięcia klawiszy urządzenia, przychodzące wiadomości SMS itd.