El pirata informàtic Android i consultor de seguretat professional Dan Rosenberg (potser el coneixeu com a djrbliss dels Internets) ha completat el seu propi estudi sobre Carrier IQ i ha trobat resultats interessants. Tots aquells informes sobre l’enregistrament de pulsacions de teclat i espiació de missatges SMS semblen haver estat culpable per part incorrecta, ja que la seva investigació demostra que Carrier IQ tal com està escrit només pot capturar les dades que el transportista li envia (conegudes com a mètriques) i, fins i tot, llavors encara ha de consultar un perfil (penseu-hi com a pàgina de configuració de qualsevol aplicació) que un operador hagi escrit CIQ específicament per a la seva instal·lació. En les seves pròpies paraules:
Estimat Internet, CarrierIQ fa moltes coses dolentes. És un risc potencial per a la privadesa dels usuaris i se'ls hauria de disposar dels usuaris la possibilitat de desactivar-la.
Però la gent ha de reconèixer que hi ha una gran diferència entre l'enregistrament d'esdeveniments com ara pulsacions de teclat i URL HTTPS en un buffer de depuració (que és bastant dolent per si mateix) i, en realitat, recopilar, emmagatzemar i transmetre aquestes dades als operadors (cosa que no succeeix). Després de l’enginyeria inversa de CarrierIQ jo mateix, no he vist cap prova que recopili res més que el que van reclamar públicament: dades de mètriques anonimitzades. Hi ha una gran diferència entre "mira, fa alguna cosa quan premo una tecla" i "envia totes les teves pulsacions al transportista!". A partir del que he vist, no hi ha cap codi a CarrierIQ que realment registri pulsacions de cara a la recollida de dades. Per descomptat, el fet que hi hagi ganxos en aquests esdeveniments suggereix que les versions futures poden abusar d’aquest tipus de funcionalitats, i CIQ s’hauria de responsabilitzar i estar sota un estret control perquè aquest tipus d’invasió de la privadesa no es produeixi. Però tot el soroll recent sobre això és majoritàriament infundat.
Hi ha moltes raons per estar molestes per la CIQ, però no us adreçem a conclusions basades en evidències incompletes.
Salutacions,
Dan Rosenberg
Què passa amb el vídeo de l'EVO de Trevor Eckhart en acció? Evidentment, és allà, i què passa amb tot això? No som investigadors en seguretat, professionals o d’una altra manera, però som nerds que llegeixen dia a dia sobre les explotacions i la seguretat. El millor que podem trobar és que HTC ha exposat aquests esdeveniments al registre mentre l’enviava com a dades mètriques anònimes a l’aplicació Carrier IQ. Encara no hi ha proves que no es facin arribar en cap lloc.
El més important per treure aquesta notícia és que, mentre que Carrier IQ té por, i molts de nosaltres els considerem malvats, només proporcionen un servei per recollir dades que els operadors i els fabricants OEM posen a la seva disposició. Això s'ha de fer més transparent, perquè mai no desapareixerà, si no t'agrada que no facis servir la nostra xarxa, ningú no té una pistola al cap, és probable que els portadors tinguin una posició sobre el tema, i una forma que tenen raó. La nostra decisió en la qüestió és no gastar-nos els diners amb ells, i el cel sap que entenc la impopularitat d'aquesta idea. Però les coses s’assemblen cada cop més a les agrupacions dels fabricants i els fabricants han de compartir una part important de la culpa i tot aquest embolic és una forma fàcil de recollir dades que ja han estat recopilant.
Quan acabem aquí, podrem començar a mirar com les empreses que van avançar cridant "No utilitzem Carrier IQ als nostres telèfons" recopilen les mateixes dades amb una altra cosa que no sigui Carrier IQ, de manera que podem estar segurs que els canvis són feta a través del tauler versus crucificar una petita empresa a Silicon Valley.
Font: Vulnfactori; Pastebin
