האקר אנדרואיד ויועץ האבטחה המקצועי דן רוזנברג (אתה אולי מכיר אותו כ- djrbliss מהאינטרנט) סיים מחקר משלו בנושא IQ של Carrier, ומצא תוצאות מעניינות. נראה כי כל אותם הדיווחים על רישומי הקשות וריגול הודעות SMS הוסברו על הצד הלא נכון, מכיוון שמחקריו מראים כי מנת המשכל IQ כפי שנכתב יכולה רק לתפוס את הנתונים שהמוביל שולח אליו (המכונה מדדים), וגם אז עדיין צריך להתייעץ בפרופיל (חשוב על זה כדף הגדרות עבור כל אפליקציה) שספק כתב CIQ במיוחד עבור ההתקנה שלהם. במילותיו שלו:
אינטרנט יקר, CarrierIQ עושה הרבה דברים רעים. זהו סיכון פוטנציאלי לפרטיות המשתמשים, ויש לתת למשתמשים אפשרות לבטל את הסכמתו.
אבל אנשים צריכים להכיר בכך שיש הבדל גדול בין הקלטת אירועים כמו הקשות מקשים וכתובות URL של HTTPS למאגר ניפוי (שהוא די גרוע כשלעצמו), לבין למעשה איסוף, אחסון והעברת נתונים אלה לספקים (מה שלא קורה). לאחר הנדסת רוורס CarrierIQ בעצמי, לא ראיתי שום הוכחה שהם אוספים יותר ממה שהם טענו בפומבי: נתוני מדדים אנונימיים. יש הבדל גדול בין "תראה, זה עושה משהו כשאני לוחץ על מקש" לבין "זה שולח את כל הקשות המקשים שלי למוביל!". בהתבסס על מה שראיתי, אין קוד ב- CarrierIQ שרושם הקשות על מקשים למטרות איסוף נתונים. כמובן שהעובדה שיש קרסים באירועים אלה מרמזת שגרסאות עתידיות עלולות לעשות שימוש לרעה בסוג זה של פונקציונליות, ויש לתת את האחריות ל- CIQ ולהיות תחת בחינה מדוקדקת כך שפלישה לפרטיות מסוג זה לא תתרחש. אך כל הרעש האחרון בנושא זה מופרך ברובו.
יש המון סיבות להתעצבן בנוגע ל- CIQ, אך אנא אל תקפצו למסקנות על סמך עדויות לא שלמות.
בברכה,
דן רוזנברג
אז מה עם כל הדברים שאנחנו רואים בסרטון של טרוור אקהרט של ה- EVO בפעולה? ברור שהוא שם, אז מה קורה עם כל זה? אנחנו לא חוקרי אבטחה, לא מקצועיים או אחרת, אבל אנחנו חנונים שקוראים על עלילות וביטחון כל יום. הכי טוב שאפשר להבין הוא ש- HTC חשפה את אותם אירועים ליומן תוך שהיא שולחת אותם כנתוני מטרי אנונימיים ליישום ה- IQ של ה- Carrier. עדיין אין הוכחות, ומעולם לא היו, שאף אחד מאותם נתונים נשלח לשום מקום.
הדבר הגדול ביותר להרחיק מחדשות אלה הוא שבעוד שמנת המשכל של Carrier מפחידה, ורבים מאיתנו רואים אותם כרעים, הם מספקים רק שירות לאיסוף נתונים שמובילים ספקי יצרני ציוד מקורי זמינים. צריך להפוך את זה לשקוף יותר, כי זה לעולם לא ייעלם - אם אתה לא אוהב שהוא לא משתמש ברשת שלנו, אף אחד לא אוחז בראשך אקדח הוא ככל הנראה עמדת המובילים בנושא, וב דרך שהם צודקים. הבחירה שלנו בעניין היא לא לבזבז את כספנו אתם, והשמיים יודעים שאני מבין עד כמה רעיון זה אינו פופולרי ממקור ראשון. אבל הדברים נראים יותר ויותר כמו המובילים והיצרנים צריכים לחלוק כאן מעט טוב מהאשמה, וכל הבלגן הזה עובר דרך קלה לאיסוף נתונים שכבר אספו.
כשנגמר כאן, נוכל להתחיל להתבונן כיצד החברות שמיהרו קדימה צועקות "אנחנו לא משתמשים ב- IQ של Carrier בטלפונים שלנו" אוספות את אותם נתונים עם משהו שאינו IQ של Carrier, כך שאנו יכולים להיות בטוחים כי השינויים הם שנעשתה בכל רחבי הלוח לעומת הצלבת חברה קטנה בעמק הסיליקון.
מקור: Vulnfactory; פסטין
