Android-хакер і професійний консультант з питань безпеки Ден Розенберг (ви можете його знати як djrbliss з Інтернету) закінчив власне дослідження Carrier IQ і знайшов кілька цікавих результатів. Усі ці звіти про реєстрацію натискань клавіш та шпигунство на SMS-повідомлення виглядають звинуваченими у неправильній стороні, оскільки його дослідження показують, що IQ Carrier як написаний може зафіксувати лише ті дані, які передає йому носій (відомий як метрики), і навіть тоді все-таки доводиться проконсультуватись із профілем (уявити це як сторінку налаштувань для будь-якого додатка), що перевізник написав CIQ спеціально для їх встановлення. Його власними словами:
Шановний Інтернет, CarrierIQ робить багато поганого. Це потенційний ризик для конфіденційності користувачів, і користувачам слід надати можливість відмовитися від нього.
Але люди повинні визнати, що існує велика різниця між записом подій, таких як натискання клавіш і URL-адреси HTTPS, до буфера налагодження (що досить погано саме по собі), і фактично збирати, зберігати та передавати ці дані носіям (що не відбувається). Після самої інженерної перевірки CarrierIQ я не бачив жодних доказів того, що вони збирають щось більше, ніж те, що вони публічно стверджували: анонімізовані дані показників. Існує велика різниця між "подивись, він щось робить, коли натискаю клавішу", і "він надсилає всі мої натискання клавіші оператору!". Виходячи з того, що я бачив, у CarrierIQ немає коду, який би фактично записував натискання клавіш для цілей збору даних. Звичайно, факт наявності гачків у цих подіях говорить про те, що майбутні версії можуть зловживати цим типом функціональності, а CIQ слід нести відповідальність і ретельно перевіряти, щоб такого типу вторгнення в конфіденційність не відбулося. Але весь останній шум з цього приводу здебільшого необгрунтований.
Є багато причин для того, щоб засмучуватися щодо CIQ, але, будь ласка, не поспішайте з висновками на основі неповних доказів.
З повагою,
Ден Розенберг
То що ж робити з усіма речами, які ми бачимо на відео Тревора Екхарта про EVO в дії? Це, очевидно, є, так що з усім цим? Ми не дослідники з питань безпеки, не професійні чи інші, але ми дурники, які читають про подвиги та безпеку щодня. Найкраще, що ми можемо зрозуміти, це те, що HTC викрила ці події в журнал, надсилаючи його як анонімні метричні дані до програми Carrier IQ. Досі немає доказів і ніколи не було того, що будь-яка з цих даних надсилається куди-небудь.
Найголовніше, що потрібно відбирати від цієї новини, це те, що, хоча IQ Carrier страшно, і багато хто з нас вважають їх злими, вони лише надають послугу збору даних, які оператори та виробники OEM надають. Це потрібно зробити більш прозорим, тому що це ніколи не піде - якщо вам це не подобається, не використовуйте нашу мережу, ніхто не тримає пістолет до голови, швидше за все, носії позиціонують цю тему, і в спосіб вони мають рацію. Наш вибір у питанні полягає в тому, щоб ми не витрачали з ними наші гроші, і небо знає, що я розумію, наскільки ця популярність ця ідея не з перших вуст. Але все виглядає все більше і більше, як перевізники і виробники повинні поділити гарну частину провини тут, і весь цей безлад є над простим способом збору даних, які вони вже збирали.
Коли ми закінчимо тут, ми можемо почати дивитися на те, як компанії, які кинулися вперед, кричали "Ми не використовуємо IQ Carrier на своїх телефонах", збирають ті самі дані за допомогою іншого, ніж Carrier IQ, тому ми можемо бути впевнені, що зміни виступили з усієї сторони проти розп'яття невеликої компанії в Силіконовій долині.
Джерело: Vulnfactory; Пастебін
