Peretas Android dan perunding keselamatan profesional Dan Rosenberg (anda mungkin tahu dia sebagai djrbliss dari Internets) telah menyelesaikan kajiannya sendiri mengenai Carrier IQ, dan menemui beberapa hasil yang menarik. Semua laporan tentang penekanan kekunci dan pengintipan pada mesej SMS kelihatannya telah dipersalahkan pada pihak yang salah, kerana penyelidikannya menunjukkan bahawa Carrier IQ seperti yang ditulis hanya boleh menangkap data yang dihantar oleh pengangkut kepadanya (dikenal sebagai metrik), dan bahkan kemudian masih perlu berunding dengan profil (fikirkannya sebagai halaman tetapan untuk mana-mana aplikasi) bahawa pembawa mempunyai CIQ menulis secara khusus untuk pemasangan mereka. Dalam kata-katanya sendiri:
Internet yang dihormati, CarrierIQ melakukan banyak perkara buruk. Ia adalah risiko yang berpotensi untuk privasi pengguna, dan pengguna harus diberikan keupayaan untuk memilih keluar dari itu.
Tetapi orang perlu mengenali bahawa terdapat perbezaan yang besar antara acara rakaman seperti ketukan kekunci dan URL HTTPS ke penampan debug (yang sangat buruk dengan sendirinya), dan sebenarnya mengumpul, menyimpan, dan menghantar data ini kepada pembawa (yang tidak berlaku). Selepas diri sendiri, saya tidak melihat bukti bahawa mereka mengutip apa-apa yang lebih daripada apa yang telah mereka dakwa secara terbuka: data metrik anonymized. Terdapat perbezaan besar antara "lihat, ia melakukan sesuatu apabila saya menekan kekunci" dan "ia menghantar semua ketukan kekunci saya ke pembawa!". Berdasarkan apa yang saya lihat, tiada kod dalam CarrierIQ yang sebenarnya merekodkan ketukan kekunci untuk tujuan pengumpulan data. Sudah tentu, hakikat bahawa terdapat cangkuk dalam peristiwa ini menunjukkan bahawa versi masa depan boleh menyalahgunakan jenis fungsi ini, dan CIQ harus dipertanggungjawabkan dan berada di bawah pengawasan yang ketat supaya pencerobohan jenis ini tidak berlaku. Tetapi semua kebisingan baru-baru ini mengenai ini kebanyakannya tidak berasas.
Terdapat banyak sebab untuk kecewa mengenai CIQ, tetapi jangan jumpa kesimpulan berdasarkan bukti yang tidak lengkap.
Salam,
Dan Rosenberg
Jadi bagaimana dengan semua perkara yang kita lihat pada video Trevor Eckhart mengenai EVO dalam tindakan? Ia jelas ada, jadi apa dengan semua itu? Kami bukan penyelidik keselamatan, profesional atau sebaliknya, tetapi kami adalah kutu buku yang membaca tentang eksploitasi dan keselamatan setiap hari. Yang terbaik yang kita dapati adalah bahawa HTC telah mendedahkan peristiwa-peristiwa tersebut ke log semasa menghantarnya sebagai data metrik tanpa nama ke aplikasi Carrier IQ. Masih tiada bukti, dan tidak pernah, bahawa mana-mana data yang dihantar di mana-mana sahaja.
Perkara terbesar yang perlu diambil dari berita ini ialah ketika Carrier IQ adalah menakutkan, dan ramai di antara kita menganggap mereka jahat, mereka hanya menyediakan perkhidmatan untuk mengumpul data yang ditawarkan oleh pembawa dan OEM. Ini perlu dibuat lebih telus, kerana ia tidak akan hilang - jika anda tidak menyukainya tidak menggunakan rangkaian kami, tiada siapa yang memegang senapang ke kepala anda mungkin pendirian pendirian pada subjek, dan dalam cara mereka betul. Pilihan kami dalam perkara ini adalah untuk tidak membelanjakan wang kita dengan mereka, dan syurga tahu saya memahami bagaimana idea yang tidak popular itu secara langsung. Tetapi perkara-perkara yang kelihatan lebih dan lebih seperti pembawa dan pengeluar perlu berkongsi sedikit yang baik menyalahkan di sini, dan ini semua kekacauan adalah lebih mudah untuk mengumpul data yang mereka sudah mengumpul.
Apabila kita selesai di sini, kita boleh mula melihat bagaimana syarikat-syarikat yang bergegas ke hadapan menjerit "Kami tidak menggunakan IQ Pengangkut pada telefon kami" mengumpul data yang sama dengan sesuatu selain Carrier IQ, jadi kami boleh memastikan bahawa perubahan dibuat merentasi papan berbanding menyalakan sebuah syarikat kecil di Silicon Valley.
Sumber: Vulnfactory; Pastebin
