Czy Twoje dane w telefonie są bezpieczne? Carrier IQ monitoruje każdy Twój ruch
Wielu z nas zaczyna korzystać ze smartfona rano, a kończy tuż przed zaśnięciem. Zawsze się zastanawiałem, jak bezpieczne są nasze prywatne dane w urządzeniu codziennego użytku. Jak okazuje się, smartfony z Androidem, iPhone czy telefony Nokii, BlackBerry mają dostęp do prywatnych danych dzięki oprogramowaniu firmy Carrier IQ.
Trevor Eckhart, który wywołał zamieszanie wokół firmy, przedstawia ją z gorszej strony:
Oprogramowanie, nawet powiedziałbym, spyware, znajduje się w ponad 141 mln telefonów komórkowych na świecie. Czym jest "niespotykany wgląd", który zapewnia Carrier IQ?
Jak działa Carrier IQ?
Narzędzie dostarczane przez Carrier IQ nie przypadkowo zostało nazwane przeze mnie spyware'em. Wyobraźcie sobie, że rozwiązanie diagnostyczne pozwala śledzić wszystkie działania w smartfonie/telefonie. Firma może zatem sprawdzić, kiedy zakończyliśmy dokładnie połączenie telefoniczne, którzy użytkownicy telefonów rozpoczęli rozmowę o 7:00, jakie klawisze zostały wciśnięte, które aplikacje uruchomione. Nie wspominając o tym, że - jak wyszło w praniu - Carrier IQ ma dostęp do naszych prywatnych wiadomości SMS, rozmów, a także może sprawdzić w danym momencie naszą dokładną lokalizację itd.
Zamieszanie wokół firmy Carrier IQ wywołał analityk ds. bezpieczeństwa Trevor Eckhart, który dostrzegł, że firma gromadzi prywatne dane oraz najprawdopodobniej wysyła je na serwery. Trevor nie musiał długo czekać na odpowiedź Carrier IQ. Firma nakazała Eckhartowi zaprzestać prac nad dalszym rozpracowywaniem narzędzia diagnostycznego Carrier IQ pod groźbą grzywny za naruszenie praw autorskich w wysokości 150 tys. dolarów. Ewidentnie Trevor był na dobrej drodze do rozwiązania zagadki narzędzia diagnostycznego preinstalowanego w wielu telefonach. Klienci nie mają oczywiście świadomości tego, że są śledzeni.
W jakich urządzeniach znaleziono Carrier IQ?
Informacje na temat oprogramowania Carrier IQ znajdują się w telefonach z Androidem (w tym firmy Samsung oraz HTC, telefony z serii Nexus nie mają preinstalowanej aplikacji Carrier IQ), Symbianem, terminalach BlackBerry, a także w urządzeniach z iOS, w tym w iPhonie (program rejestruje mniejszą liczbę danych), modelach Nokii. Co ciekawe, aplikacja nie może zostać usunięta. Użytkownikom Androida z pomocą przychodzą modyfikowane ROM-y, w tym np. Cyanogemnod, który korzystając z oryginalnego kodu Androida, nie ma preinstalowanego spyware'u Carrier IQ.
W zestawieniu Fierce Wireless są informacje o współpracy firmy Carrier IQ z amerykańskimi operatorami: AT&T, Verizon oraz Sprint, a także z 7 z 10 najpopularniejszych producentów OEM.
Ciekawą odpowiedź uzyskał serwis BGR od rzecznika amerykańskiej sieci Sprint:
Carrier IQ zbiera wystarczającą ilość informacji do zrozumienia doświadczeń użytkowych klientów naszej sieci. Nie zbieramy informacji na temat prywatnych wiadomości, zdjęć, wideo itd. za pomocą wspomnianego narzędzia.
Uważam, że takie tłumaczenie rzecznika nie do końca wyjaśnia działanie "narzędzia diagnostycznego". Tym bardziej jeśli to narzędzie, jak twierdzi Eckhart, gromadzi nasze prywatne dane.
Producenci telefonów a zarzuty dotyczące zainstalowanego spyware'u
Nokia odpowiedziała, że na żadnym rynku nie dostarcza urządzeń, w którym zainstalowane jest oprogramowanie CarrierIQ.
Oficjalne oświadczenie firmy Apple dla AllThingsD:
RIM:
Oliwy do ognia dolała firma HTC:
Google również zaprzeczył powiązaniom z Carrier IQ:
Microsoft postanowił skorzystać na zamieszaniu, reklamując Windows Phone'a:
Aktualnie nie wiemy, czy wszystkie gromadzone dane Carrier IQ przesyłane są na serwery firmy. Wiadomo, że za zainstalowane oprogramowanie odpowiadają operatorzy, a nie producenci urządzeń. Wystarczy tylko przeczytać powyższe oświadczenia firm: producenci jasno podkreślają, że nie mają żadnego związku z Carrier IQ.
Z informacji podanych przez Eckharta możemy wnioskować, że operatorzy mają dostęp do portalu Carrier IQ, w którym są w stanie monitorować każde urządzenie po numerze identyfikacyjnym produktu i abonenta. Administrator portalu może sprawdzić godzinę zakończenia połączenia, np. o 17:00 w Kalifornii. Tym samym może on również określić dokładne położenie konkretnego użytkowania na świecie, a także zdobyć informacje, jakie aplikacje są używane w telefonie.
Jak sprawdzić, czy w telefonie z Androidem jest zainstalowane narzędzie Carrier IQ?
W Android Markecie dostępna jest aplikacja Voodo Carrier IQ Detector, która - jak sama nazwa wskazuje - pozwala na wykrycie, czy oprogramowanie typu rootkit jest zainstalowane w telefonie.
Na razie nie stwierdzono występowania Carrier IQ w europejskich sieciach.
Jeśli wziąć pod uwagę doniesienia zagranicznych portali, nasuwa się pytanie: czy kosztem bezpieczeństwa międzynarodowego jesteśmy w stanie poświęcić naszą prywatność?
Dla bezpieczeństwa międzynarodowego rozwiązanie Carrier IQ wydaje się idealne. Służby bezpieczeństwa mogą zdobywać informacje o ewentualnych zamachach w momencie, kiedy ktoś wykorzysta telefon w celu ich zorganizowania. Pojawia się jednak problem prywatności, do której prawo ma każdy z nas. Nie wiem jak Wy, ale ja nie życzę sobie, aby moje prywatne wiadomości SMS mógł odczytywać "administrator" witryny dla operatorów. Nie chcę też, aby ktokolwiek wiedział, który aktualnie klawisz naciskam w telefonie. Jest to jawne naruszenie prywatności, prywatności, do której prawo ma każdy z nas.
Nie zdziwiłbym się, gdyby Carrier IQ miało głębsze powiązania z agencjami bezpieczeństwa w Stanach Zjednoczonych. Czy myślicie, że w Europie podobne oprogramowanie śledzi każdy nasz ruch, a to, kiedy znajdziemy informacje o nim, pozostaje tylko kwestią czasu?
Poniżej wideo prezentujące działanie narzędzia Carrier IQ w telefonie z Androidem. Rejestruje ono naciśnięcia klawiszy urządzenia, przychodzące wiadomości SMS itd.
Źródło: Geek • Eff.org • Android Security Test • BGR • AllThingsD • WinRumours