Le pirate Android et consultant professionnel en sécurité Dan Rosenberg (vous le connaissez peut-être sous le nom de djrbliss des Internets) a terminé sa propre étude sur Carrier IQ et a abouti à des résultats intéressants. Tous ces rapports sur l’enregistrement des frappes au clavier et l’espionnage des messages SMS semblent avoir été imputés à la mauvaise partie, car ses recherches montrent que Carrier IQ, tel qu’écrit, ne peut capturer que les données que celui-ci lui envoie (métriques), et même alors. doit toujours consulter un profil (considérez-le comme une page de paramètres pour toute application) qu'un opérateur a demandé à CIQ d'écrire spécifiquement pour leur installation. Dans ses propres mots:
Cher Internet, CarrierIQ fait beaucoup de mauvaises choses. C'est un risque potentiel pour la vie privée des utilisateurs, et les utilisateurs devraient avoir la possibilité de s'en retirer.
Mais les gens doivent reconnaître qu’il existe une grande différence entre l’enregistrement d’événements tels que les frappes au clavier et les URL HTTPS dans un tampon de débogage (assez mauvais en soi), et la collecte, le stockage et la transmission de ces données aux opérateurs (ce qui n’arrive pas).. Après avoir inversé l'ingénierie CarrierIQ, je n'ai vu aucune preuve indiquant qu'ils collectent autre chose que ce qu'ils ont déclaré publiquement: des données métriques anonymisées. Il y a une grande différence entre "regarde, ça fait quelque chose quand j'appuie sur une touche" et "ça envoie toutes mes frappes au transporteur!". D'après ce que j'ai vu, il n'y a pas de code dans CarrierIQ qui enregistre les frappes au clavier à des fins de collecte de données. Bien sûr, le fait qu'il y ait des crochets dans ces événements suggère que les versions futures risquent d'abuser de ce type de fonctionnalité, et CIQ devrait en être tenu responsable et faire l'objet d'un examen minutieux afin d'éviter ce type d'atteinte à la vie privée. Mais tout le bruit récent à ce sujet n’est pour la plupart pas fondé.
Il y a de nombreuses raisons d'être mécontent de CIQ, mais veuillez ne pas sauter aux conclusions sur la base de preuves incomplètes.
Cordialement,
Dan Rosenberg
Alors, qu'en est-il de tout ce que nous voyons sur la vidéo de Trevor Eckhart sur l'EVO en action? C'est évidemment là, alors qu'est-ce qui se passe avec tout ça? Nous ne sommes pas des chercheurs en sécurité, professionnels ou autres, mais nous sommes des nerds qui lisent tous les jours sur les exploits et la sécurité. Le mieux que nous puissions comprendre est que HTC a exposé ces événements au journal tout en l'envoyant sous forme de données métriques anonymes à l'application Carrier IQ. Il n'y a toujours aucune preuve, et n'a jamais été, qu'une quelconque de ces données est envoyée n'importe où.
La principale chose à retenir de cette nouvelle est que, bien que Carrier IQ soit effrayant, et que beaucoup d’entre nous le considèrent comme un mal, ils fournissent uniquement un service permettant de collecter des données que les transporteurs et les constructeurs OEM mettent à disposition. Cela doit être rendu plus transparent, car cela ne disparaîtra jamais - si vous n'aimez pas, n'utilisez pas notre réseau, personne ne vous tient l'arme à la tête, ni la position des transporteurs sur le sujet, et une façon ils ont raison. Notre choix en la matière est de ne pas dépenser notre argent avec eux, et Dieu sait si je comprends à quel point cette idée est impopulaire. Cependant, les opérateurs et les fabricants doivent de plus en plus assumer une part importante de la responsabilité, et tout ce gâchis concerne un moyen simple de collecter les données qu'ils ont déjà collectées.
Une fois que nous avons terminé, nous pouvons commencer à regarder comment les entreprises qui se sont précipitées en criant "Nous n'utilisons pas Carrier IQ sur nos téléphones" collectent les mêmes données avec autre chose que Carrier IQ, afin que nous puissions être sûrs que les changements sont fait à travers le conseil contre crucifier une petite entreprise dans la Silicon Valley.
Source: Vulnfactory; Pastebin
