O špehovacím softwaru Carrier IQ bylo řečeno i napsáno mnohé. Dnes se pokusíme vnést do celé aféry trochu světla. Co je Carrier IQ, co znamená ten poprask kolem, a co se dá dělat? Jak zjistit, zda ho máte ve svém telefonu?
Několik dnů jsme pro vás sbírali informace z desítek zdrojů, abychom vám mohli přinést odpovědi na všechny otázky, týkající se špehovacího software Carrier IQ. Co přesně tedy tato aplikace umí, jak se dostane do telefonu, jak ji zjistit a jak se jí zbavit?
Carrier IQ v otázkách a odpovědích
Co je Carrier IQ?
Carrier IQ je společnost se sídlem v kalifornském San Jose, která poskytuje/prodává analytický nástroj, jež umožňuje operátorovi získat data o tom, jak používáte váš telefon, jak je spolehlivý, případně detekovat problémy se sítí a nedostatečné pokrytí signálem. Vše je zastřeno údajnou snahou o zlepšování služeb.
Vážně? To zní skoro neškodně.
Jistě, že ano. Protože tuto informaci podáváme ve zcela zjednodušené podobě, bez jakékoli dramatizace.
OK. Tak v čem je problém?
Velkým problémem ve skutečnosti je, jaká data jsou získávána, a především otázka, zda na to uživatelé před tím byli upozorněni.
Fajn. Tak nám to vysvětlete.
Carrier IQ je aplikace, nebo spíše “služba”, která běží na pozadí vybraných telefonů určitých operátorů. Není to součást Androidu, ani ji není možné stáhnout z Android Marketu. Některé zdroje ji označují jako “rootkit”, což svým způsobem skutečně je. V telefonu je záměrně a nechal ji do něj nainstalovat ten, od koho zařízení máte.
Jak jsme již řekli: je to nástroj, kterým chce operátor získat informace o tom, jak telefon používáte. Vysvětlení najdete také na webových stránkách společnosti Carrier IQ, která sama sebe popisuje slovy: “Přední poskytovatel mobilních řešení pro inteligentní služby bezdrátového průmyslu. Jako jediná analytická společnost… …dáváme mobilním operátorům a výrobcům mobilních telefonů zcela nové poznatky o zkušenostech zákazníků.”
To opravdu zní trochu děsivě. Je to tak?
Ano, a … Spíše ano.
Na jedné straně byste skutečně neměli být překvapeni tím, že společnost, která vám poskytuje služby, chce nějakou zpětnou vazbu o tom, jak je používáte. To dává smysl. Ostatně možná jste již byli požádáni e-mailem či telefonicky o zapojení se do nějakého průzkumu na toto téma. To není nic nového.
Ale tento případ, je dvojsečný. Kupujete hardware (telefon) a služby (data i hlas) od operátora, jako je Sprint, AT & T, T-Mobile, či jiného distributora ze Spojených států, nebo ze zahraničí. To jsou dvě (nebo dokonce tři) společnosti, od kterých něco kupujete, a pro všechny může být zajímavé vědět, jak používáte jejich služby.
Říkal jste, že velký problém je, jak se to děje …
Ano. Carrier IQ funguje v podstatě jako nástroj typu “man in the middle.” Běží nad operačním systémem, ale pod uživatelským rozhraním. Jak bylo možné vidět ve videu 25letého experta na bezpečnost Trevora Eckharta, vypadá to, že Carrier IQ má přístup ke skoro všemu, co se svým telefonem děláte. Pokud jste ještě neviděli, rozhodně doporučujeme Eckhartovu demonstraci zhlédnout na následujícím videu. Je to, přinejmenším, velice zajímavé.
| Praktická demonstrace schopností Carrier IQ |
Viz také podrobná dokumentace toho, jak Carrier IQ funguje.
Nyní to můžete srovnat s oficiálním vyjádřením generálního ředitele Carrier IQ.
| Oficiální vyjádření generálního ředitele Carrier IQ |
Ve zkratce: Carrier IQ zaznamenává stisknuté klávesy, telefonní čísla, zašifrované výrazy hledané přes Google a sesbírané informace kamsi odesílá.
Problém je v tom, že žádný uživatel až do začátku aféry o Carrier IQ nikdy neslyšel. Jistě si nepamatujete,že byste mu dávali svolení k jeho činnosti. Žádné dialogové okno vás nikdy nepožádalo třeba stylem: “Ahoj, jsem Carrier IQ, a chtěl bych vědět, jak používáte telefon, abych to mohl říci někomu dalšímu.” A to je moment, kde se věci komplikují. Na jednu stranu, když se poprvé přihlásíte na telefonu s Androidem, pravděpodobně bez čtení přeskočíte několik obrazovek, které se dožadují nejrůznějších souhlasů. Některé z nich mohou být od Googlu, který by rád věděl, kde jste a co děláte. Další dialogy mohou být od výrobce, který požaduje potvrzení se zdůvodněním, že je to nutné, aby jeho služby – HTC Sense, Motorola Blur, nebo Samung TouchWiz – pracovaly správně. Jestliže se váš telefon zeptá, zda mu dáte oprávnění něco udělat, pravděpodobně odpovíte kladně. V případě služby Carrier IQ jste ale určitě ani jednou neviděli dialog s dotazem, zda může mít přístup k vašim datům.
Takže jak? Špehuje mě Carrier IQ, nebo ne?
Technicky? Ano. Je to tak.
Některé zdroje ale uvádějí, že bezpečnostní experti, zkoumající fungování Carrier IQ a jeho schopnosti, se vyjádřili ve smyslu, že aplikace má nějaké silné a potenciálně znepokojivé schopnosti, ale že v současné podobě nemá možnost zaznamenávat SMS zprávy, telefonních hovory, nebo stisky kláves. Výzkumníci ale upozorňují, že existuje potenciální riziko zneužití shromážděných informací, ať už ze strany operátorů, nebo produktů třetích stran, které mohou přistupovat k datům například na zkompromitovaném zařízení. V některých případech jsou totiž sesbíraná data ukládána do paměti telefonu v nešifrované podobě a není tak problém je získat pomocí další aplikace (např. viru či malware).
Závisí především na operátorovi, jaká data si nechá sbírat. Bezpečnostní expert Dan Rosenberg zjistil, že je například možné detekovat délku zprávy a její stav, ale nelze zaznamenat obsah zprávy. Stejně tak software nedokáže rozpoznat a zaznamenat obsah konkrétní webové stránky, kterou uživatel navštíví, ale v některých případech může detekovat její adresu.
Jon Oberheide, bezpečnostní expert, který na zařízeních s Androidem už v minulosti udělal velký kus práce, také analyzoval několik verzí Carrier IQ, a došel ke stejným závěrům jako Rosenberg. Zjistil, že software je sice schopen zaznamenávat některé informace, ale to neznamená, že to opravdu dělá. Co bude aplikace shromažďovat, záleží na nastavení od operátora. Oberheide ale podotýká, že schopnost shromažďovat data je sama o sobě nebezpečná.
Co přesně tedy může Carrier IQ sledovat, a co naopak ne?
- Při vykreslení stránky v prohlížeči může zaznamenat interní identifikátor stránky, ale neumí zjistit žádné údaje týkající se obsahu stránky.
- Lokalizovat uživatele s pomocí GPS i bez ní.
- Při odeslání nebo přijetí odpovědi HTTP požadavku zaznamenat typ akce, velikost obsahu, lokální port, stavový kód, URL, nikoli ale obsah stránky.
- Událost změny stavu sítě, konkrétně interní identifikátor stavu sítě.
- Co se týká telefonování, je schopen zaznamenat různé události, jako je “spadnutí” hovoru, problémy se službami, události rádia, atd.
- Z hlediska hardware dokáže sledovat a zaznamenat změnu stavu baterie, napětí, teploty, atd.
- Zaznamenávat stisknuté klávesy, údajně tak ale činí pouze při zadávání telefonního čísla.
- Zjišťovat typ používané sítě.
- Události volání, jako je telefonní číslo, kód země, a zda hovor proběhl, nebo došlo k selhání.
- Aplikace – konkrétně název aplikace, její zastavení, získání a ztrátu fokusu.
- V případě SMS zpráv umí zjistit délku, telefonní číslo, stav, zda byla doručena, ale nikoli obsah přijaté nebo odeslané zprávy.
Kam takto získaná data putují?
To se v těchto okamžicích stále neví. Předpokládá se, že k firmě Carrier IQ, ovšem jde jen o spekulaci. Stejně tak je otázkou, jak je se získanými daty dále nakládáno, kdo k nim má přístup, jak se s nimi pracuje, či kdo je využívá. Padají dokonce podezření, že firma data poskytuje nejen operátorům, ale také třetím stranám, například analytickým firmám.
Cože? A jak se to dostalo do mého telefonu?
Jmenuje se to “Carrier IQ” z nějakého důvodu. Carrier v angličtině znamená “dopravce/přepravce” a v segmentu mobilních telefonů se používá ve významu “mobilní operátor” či “distributor.” Jak jsme řekli dříve, opravdu je na vině váš operátor. On je tím, kdo platí za to, aby mohl implementovat Carrier IQ do ROM, kterou nahrál do telefonu. Špióna jste si nestáhli, ani se nedostal do mobilu přes nějakou aplikaci. Prostě a jednoduše: pokud je Carrier IQ v telefonu, je tam proto, že jste ho s ním zakoupili.
Jak dlouho to trvá?
Vzpomínáte na staré HTC Hero (oficiálně byl tento telefon představen v červnu 2009)? Verze zakoupené u operátora Sprint Carrier IQ obsahují. Pravda, jeho dřívější verze byly mnohem jednodušší, ale už v této fázi sledovaly a zaznamenávaly údaje na pokyn ze strany operátora.
Takže můžeme obvinit operátory?
V tuto chvíli je jisté, že aplikaci obsahovaly některé telefony od amerických operátorů Sprint, T-Mobile, AT & T, ale může se to týkat i dalších. Pravděpodobně i u jiných operátorů či výrobců může být v telefonu podobný program od jiné firmy, dělající totéž. Patrně jediným americkým operátorem, jež se dle svých slov špehování zákazníků neúčastnil, je Verizon.
Čeští operátoři se sice vyjádřili ve smyslu, že nic podobného nepoužívají a do telefonů zákazníků neinstalují, ostražití by ale měli být ti, kdož mají telefon dovezený ze zahraničí, případně koupený u prodejce z tzv. “šedého trhu.” Předpokládá se, že Carrier IQ je nainstalován na více než 140 milionech telefonů, včetně značek Samsung a HTC. Poslední jmenovaný ale z instalace software na své telefony obvinil operátory.
Proklínám tě, Androide!
Četli jste pozorně? Nejde o problém Androidu, není to jeho vina, ani za to nemůže Google. Carrier IQ je služba spojená s operačním systémem a hardwarem, který jste si zakoupili. Kdyby operátor neuzavřel smlouvu s Carrier IQ, nenainstaloval špióna do systému a nepostaral se o jeho skrytí, nikdy byste tuto aplikaci v telefonu neměli.
Android je open-source systém. Existuje tedy možnost zkontrolovat, co obsahuje, ale v konečném produktu mohou operátoři a výrobci dělat v podstatě cokoli chtějí – včetně instalace invazivní a skryté analytické služby. Na všem špatném je ale něco dobrého. Kdyby Android nebyl open-source s přístupem k ladění, tak by se akovou aplikaci nikdy nemuselo podařit najít.
K tématu Carrier IQ se vyjádřil také předseda představenstva Google Eric Schmidt, který zkritizoval operátory a zdůraznil, že Google s výrobcem této aplikace nespolupracuje. “Android je otevřená platforma, takže je možné, aby vývojáři připravovali aplikace, které nejsou moc dobré pro uživatele, a tohle je právě ono…” řekl Schmidt, podle agentury Reuters.
Týká se to jen telefonů s Androidem?
Zdaleka ne. Proč by jinak Apple sliboval úplné odstranění Carrier IQ v některé z příštích aktualizací iOS? V iOS 5 sice údajně byla podpora tohoto software odstraněna, nicméně kdo ví, jak to bylo u starších verzí systému….
Nutno podotknout, že kauza Carrier IQ se týká i telefonů se Symbianem a pravděpodobně též zařízení BlackBerry. Naopak mimo hru jsou údajně telefony s Windows Mobile a mobily přímo od Google.
Jak mohu zjistit, zda je Carrier IQ v mém telefonu?
Existuje několik způsobů, ale nejjednodušší je vyzkoušet některou z bezplatných aplikací, určených k detekci Carrier IQ. Nebudeme vyzdvihovat jednu nad ostatní – přečtěte si recenze a vyberte si dle svého uvážení (server InformationWeek z několika důvodů doporučuje Voodoo Carrier IQ detector z dílny forenzního počítačového experta Francoise Simonda). Až budete hotovi, můžete program opět odinstalovat a uvolnit tak místo – k opakovanému používání není důvod, protože pokud Carrier IQ v telefonu nemáte, už se vám v něm neobjeví.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||
Mám Carrier IQ v telefonu! Jak se ho zbavit?
Pokud nemáte telefon rootnutý, pak nemáte šanci zbavit se nechtěné aplikace vlastními silami. Je zakomponována hluboko do operačního systému, kam se bez práv roota dostanete jen v režimu “pouze pro čtení,” tudíž pro běžné je zcela nedostupná. V případě, že máte práva root, můžete odstranit příslušné soubory, nebo nahrát vlastní firmware bez špionážních funkcí.
Co se bude dít dál?
V tomto okamžiku těžko říci. Jisté je jen to, že operátory i společnost Carrier IQ čekají krušné časy a táhnoucí se žaloby o stamilióny dolarů. Jedním z prvních, kdo se hodlá zasadit o prošetření celé kauzy, je americký kongresman Edward Markey, který napsal: “Mám vážné obavy ohledně softwaru Carrier IQ, o to, zda se jedná tajné shromažďování osobních údajů uživatelů, jako je obsah textové zprávy. Spotřebitelé a rodiny musí vědět, kdo zpronevěřuje a ukládá jejich osobní údaje pokaždé, když používají svůj chytrý telefon. Žádám Federální obchodní komisi, aby prošetřila tuto praxi, a budu nadále sledovat toto významné narušení ochrany osobních údajů.” Senátor Al Franken pak ve dvou dopisech požádal Carrier IQ o zveřejnění postupů, na které má firma reagovat nejpozději do středy 14. prosince.
Zdroje: InformationWeek, ThreatPost, VulnFactory, The Register, Aktuálně, Android Central, PC Mag, PC World, NeoWin, AndroidSpin, Android Phone Fans, Android and Me, Droid Life.
0 komentářů