Bezorgdheid over keylogger Carrier IQ ongegrond

Bezorgdheid over keylogger Carrier IQ ongegrond
Het lijkt erop dat de aantijgingen aan het adres van Carrier IQ, de diagnostische software dat stiekem geïnstalleerd en uitgevoerd wordt met root-toegang op de diverse smartphones, ongegrond zijn.
Carrier IQ komt vooraf-geïnstalleerd op verschillende smartphones, in het bijzonder de Sprint en AT&T branded Android smartphones, en wordt verkocht als een diagnostische tool dat telecombedrijven kan helpen bij het monitoren van problemen op hun mobiele netwerken.

Het bestaan van de software is vorige maand ontdekt door Trevor Eckhart, een beveiligingsonderzoeker, die het heeft bestempeld als een rootkit.




Terwijl Carrier IQ ageert tegen die beschrijving, bestaat er geen onduidelijkheid over het feit dat de software is geïnstalleerd zonder medeweten of toestemming van de gebruiker en dat het heimelijk (zonder dat de gebruiker het ziet) uitgevoerd wordt met alle gebruikersrechten. Dit is de basis definitie van een rootkit.

Andere onthullingen door Eckhart zijn dat de Carrier IQ over de mogelijkheid beschikt om iedere toetsaanslag vast te leggen en deze gegevens in het geheim kan rapporteren via SMS-berichten en versleutelde communicatie met het telecombedrijf.

Een andere onderzoeker, Dan Rosenberg heeft zijn eigen analyse losgelaten op de Carrier IQ implementatie op een Samsung Epic 4G Touch en kwam tot de conclusie dat de conclusies van Eckhart niet juist zijn. Volgens Rosenberg beschikt Carrier IQ helemaal niet over een keylogger en kan het geen gegevens uitwisselen, tenminste niet op de Samsung telefoon die hij onderzocht heeft.

Hij schrijft:

  1. CarrierIQ kan geen SMS teksten, webpagina's of emailberichten vastleggen, zelfs wanneer de carriers en handsetfabrikanten dit zouden willen. Er is doodgewoon geen metriek stelsel aanwezig dat deze informatie bevat.
  2. CarrierIQ (op deze telefoon) kan de beltoetsen opnemen die worden gedrukt tijdens het bellen, om het doel van het telefoongesprek te achterhalen. Ik ben geen advocaat, maar ik verwacht dat telecombedrijven wel legaal toegang hebben tot deze gegevens.
  3. CarrierIQ (op deze telefoon) kan geen andere toetsaanslagen vastleggen anders dan de belknoppen.
  4. CarrierIQ kan in bepaalde situaties GPS locatiegegevens raporteren.
  5. CarrierIQ kan de URL's die worden bezocht vastleggen (inclusief HTTPS), maar niet de inhoud van die pagina's of andere HTTP data.


Hij gaat verder:

Ik gebruik de woorden kan niet letterlijk, als in geen mogelijkheid hebben om, in de huidige versie, zonder dat de code wordt aangepast en het installeren van een nieuwe versie op de telefoon. Natuurlijk kan CarrierIQ worden aangepast om in de toekomst dergelijke ongewenste praktijken uit te voeren: maar dat kan in principe met iedere applicatie op je telefoon. Vergeet niet dat CIQ is geïntegreerd door de OEM en naar mijn weten nooit is aangepast na de installatie ...




Waarschijnlijk nog belangrijker is het dat Rosenberg er op wijst dat Carrier IQ de software ontwikkelt en verkoopt, het aan de telecombedrijven is om te bepalen welke data er verzameld moeten worden en welke informatie en keuzes de gebruikers krijgen. Je kunt met Carrier IQ twisten over de mogelijkheden van hun software, de telecombedrijven zijn verantwoordelijk voor de gemaakte keuzes.

Bron

Geschreven door Marco Korthout @ 6 dec. 2011 4:38
Tags
CarrierIQ

© 2024 AfterDawn Oy

Hosted by
Powered by UpCloud