Společnost Carrier IQ zveřejnila 19stránkový dokument o své špionážní aplikaci. Co jsme se dozvěděli, a co naopak zůstává obestřeno rouškou tajemství? Co je pravda, a co lež? Měla k sesbíraným datům přístup FBI?

V polovině prosince jsme ve článku Vše, co potřebujete vědět o špehovacím softwaru Carrier IQ přinesli prakticky veškeré v tu chvíli známé informace o skandálním špehování (nejen amerických) uživatelů mobilních telefonů. Článek končil informací, že senátor Al Franken ve dvou dopisech požádal Carrier IQ o zveřejnění postupů a informací, na které měla firma reagovat nejpozději do středy 14. prosince. Co se tedy od té doby odehrálo?

Carrier IQ, Samsung, HTC, Sprint, AT T

13. prosince dopoledne přišel server Android and Me se spekulací, že získané informace, kromě operátorů a výrobců telefonů, využívala také FBI. Konkrétní údaje o způsobu, nebo o tom, jaká data měla být předávána, ale nebyly zveřejněny. Reportér Michael Morisy ze zpravodajství Muckrock na základě zákona o svobodném přístupu k informacím (FOIA) zaslal Federálnímu úřadu pro vyšetřování (FBI) žádost o poskytnutí manuálů, dokumentů, nebo jiných písemných pokynů, týkajících se přístupu a analýzy dat shromážděných programem Carrier IQ. FBI odmítla spolupracovat s tím, že je z tohoto zákona vyjmuta na základě ustanovení, které vyjímá z FOIA materiály, jež by mohly narušit probíhající vyšetřování. Marketingový zástupce Carrier IQ Mira Woods tuto spekulaci popřel s tím, že pokud by firma byla požádána o poskytnutí dat z důvodu vymáhání práva, směrovala by takový požadavek na operátora, kterému data patří.

Carrier IQ splnila požadavek senátora Frankena a 12. prosince večer vydala na svých webových stránkách devatenáctistránkový dokument ve formátu PDF (pochopitelně v angličtině), který měl vnést do celé kauzy více světla. Dokument popisuje:

  • Podrobnosti řešení Carrier IQ.
  • Jak je software Carrier IQ – „IQ Agent“ – nahráván do mobilních zařízení.
  • Jaké informace jsou k dispozici pro operátory mobilních sítí.
  • Jak mohou získaná data používat zákazníci Carrier IQ.
  • Jak jsou v rámci tohoto procesu chráněna data spotřebitele.

Server Android and Me připravil následující výtah z tohoto dokumentu:

  • Osobní údaje v log souborech, jak je ukázal Trevor Eckhart ve svém videu, jsou výsledkem nechtěně ponechaného režimu ladění, který se dostal do produkčních vzorků telefonů, a měl by být klasifikován jako chyba. Agent Carrier IQ pro mobilní zařízení není zodpovědný za ukládání zpráv protokolu, které obsahují osobní informace. Dále podotýká, že skutečnost, že je něco vidět na obrazovce v ladícím režimu, ještě neznamená, že jsou tato data ukládána, nebo dokonce kamkoli odesílána.
  • Carrier IQ nezískává ani nepředává obsah multimediálních zpráv (MMS), e-mailů, fotografií, webových stránek, audia nebo videa. Podrobný seznam toho, co se vlastně dělá, se nachází v přílohách dokumentu.
  • V některých výjimečných případech může kvůli neúmyslné chybě v diagnostickém profilu dojít k zachytávání síťových zpráv, včetně SMS. Vzhledem k tomu, na jaké vrstvě jsou tato data zachytávána, ale nejsou dekódována nebo zpřístupněna v čitelné podobě Carrier IQ, jejich zákazníkům, nebo jakékoli třetí straně. Po zjištění chyby Carrier IQ a jeho zákazníci podnikli okamžité kroky k nápravě, a operátoři již údajně tato data nezískávají. Jedním z případů, kdy mohlo dojít k zachycení zprávy, byla situace, kdy SMS byla doručena během probíhajícího hovoru nebo souběžného datového připojení.
  • Uživatel může zadat specifický číselný kód, který aktivuje určité funkce agenta Carrier IQ. Aby bylo možné zjistit zadání tohoto kódu, sleduje aplikace stisky numerických kláves. Carrier IQ ujišťuje, že nikdy nebyly úmyslně zachycovány nebo přenášeny stisky kláves, a že si není vědomo žádných případů, kdy se tak stalo. Carrier IQ není keylogger, a žádný zákazník nikdy nepožádal, aby aplikace zachytávala stisky kláves.
  • Operátoři sami definují, jaká diagnostická data mají být ze zařízení získávána. Carrier IQ programuje profily pro jednotlivé operátory tak, aby získali diagnostické informace, které potřebují. O tom, co je skutečně získáváno, rozhoduje tedy výhradně provozovatel sítě, a Carrier IQ upravuje svůj software na základě obchodních požadavků a dohod se svými klienty.
  • Nejvýznamnějším klientem byl operátor Sprint, který měl Carrier IQ nainstalovaný na více než 26 milionech zařízení. Další operátor AT & T uvádí mnohem nižší čísla – špiónský software byl nainstalován na 900 000 mobilních telefonech, z nichž ale „pouze“ 575 000 aktivně sbíralo data. Samsung přiznává přibližně 25 milionů chytrých telefonů a HTC tvrdí, že dodalo na trh zhruba 6,3 milionu s předinstalovaným softwarem Carrier IQ. Všechny jmenované firmy se, pochopitelně, dušují, že používají Carrier IQ výhradně pro diagnostické účely, nikoli na shromažďování soukromých dat nebo sledování uživatelů. Paradoxní přitom je, že sama společnost Carrier IQ se na svém webu chlubí více než 140 miliony instalací. Je tedy otázkou, kde je zbývajících cca 82 milionů špehovaných zařízení.
  • Data jsou shromažďována na serverech, přičemž to, komu tyto servery fyzicky patří, záleží na dohodnutých podmínkách. Carrier IQ poskytuje jako jednu z variant model „software jako služba,“ kdy servery provozuje sám. V jiných případech zákazníci mohou požadovat ukládání dat do svých datových center. V každém případě je pro CIQ důležitá bezpečnostních systémů, což dokládá tvrzením, že k dnešnímu dni společnost nezaznamenala žádné narušení dat.
  • Ohledně dalšího použití dat CIQ tvrdí, že podle zákaznických smluv nemá dovoleno analyzovat, prodávat, nebo opětovné použít získané informace pro vlastní účely, nebo je předat třetí straně, s výjimkou případů, kdy to vyžaduje zákon (což odporuje výše řečenému).

Server Android Central pak zaujaly ještě následující body:

  • Carrier IQ tvrdí, že jeho software je jen poskytovatelem diagnostických dat, a „pouze shromažďuje důležité diagnostické údaje způsobem, který chrání informace zákazníků.“
  • Carrier IQ byl použit v některých telefonech, smartphonech, datových modemech a tabletech.
  • Data jsou ze zařízení nahrávána jednou denně a jedná se o objem asi 200 kb. Dopravce za získaná data platí poplatek.

14. prosince přišel server Android Phone Fans s převzatou informací, podle které je společnost Carrier IQ vyšetřována federálními úřady FTC a FCC. To potvrdil i její marketingový zástupce Mira Woods, který řekl: „V tuto chvíli spolupracujeme na vyšetřování a nemáme co skrývat.“

O dva dny později jeden z nejvýznamnějších amerických operátorů Sprint potvrdil serveru Android Central, že již s pomocí Carrier IQ nesbírá diagnostická data ze zařízení. Konkrétně měl vyřadit servery zodpovědné za sběr dat. V prohlášení se uvádí, že Sprint si „váží zájmů zákazníků a vyřadil tento nástroj z užívání. Nyní posuzuje další možnosti použití tohoto software k diagnostice.“ Nepotvrzená zpráva říká, že Sprint zahájil jednání s výrobci, aby Carrier IQ odstranili ze zařízení určených pro jeho síť.

Zdroje: Android and Me, Android Central [2], Android Police, AndroidGuys, Android Phone Fans [2], BGR a Gizmodo.

Categories: Android

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *