L'hacker Android e il consulente per la sicurezza professionale Dan Rosenberg (potresti conoscerlo come djrbliss dagli Internet) ha completato il suo studio su Carrier IQ e ha trovato alcuni risultati interessanti. Tutti quei rapporti sulla registrazione dei tasti e lo spionaggio dei messaggi SMS sembrano essere stati incolpati della parte sbagliata, poiché la sua ricerca mostra che il QI del corriere come scritto può solo catturare i dati che il corriere gli invia (noto come metriche), e anche allora deve ancora consultare un profilo (pensalo come una pagina delle impostazioni per qualsiasi app) che un corriere ha fatto scrivere a CIQ appositamente per la sua installazione. Con le sue stesse parole:
Gentile Internet, CarrierIQ fa molte cose cattive. È un rischio potenziale per la privacy degli utenti e gli utenti dovrebbero avere la possibilità di rinunciarvi.
Ma le persone devono riconoscere che esiste una grande differenza tra la registrazione di eventi come sequenze di tasti e URL HTTPS su un buffer di debug (che è piuttosto male di per sé) e la raccolta, l'archiviazione e la trasmissione di questi dati ai gestori (cosa che non accade). Dopo il reverse engineering di CarrierIQ, non ho visto prove che stiano raccogliendo qualcosa di più di quello che hanno pubblicamente affermato: dati di metriche anonimizzati. C'è una grande differenza tra "guarda, fa qualcosa quando premo un tasto" e "sta inviando tutte le mie battute al corriere!". Sulla base di ciò che ho visto, in CarrierIQ non esiste alcun codice che in realtà registra le sequenze di tasti ai fini della raccolta dei dati. Naturalmente, il fatto che ci siano agganci in questi eventi suggerisce che le versioni future potrebbero abusare di questo tipo di funzionalità e CIQ dovrebbe essere ritenuto responsabile ed essere sotto stretto controllo in modo che questo tipo di invasione della privacy non si verifichi. Ma tutto il rumore recente su questo è per lo più infondato.
Ci sono molte ragioni per essere arrabbiati con CIQ, ma per favore non saltare alle conclusioni basate su prove incomplete.
Saluti,
Dan Rosenberg
E che dire di tutto ciò che vediamo nel video di EVO di Trevor Eckhart in azione? È ovviamente lì, quindi che succede? Non siamo ricercatori di sicurezza, professionisti o meno, ma siamo secchioni che leggono ogni giorno di exploit e sicurezza. Il meglio che possiamo immaginare è che HTC ha esposto tali eventi al registro mentre lo inviava come dati metrici anonimi all'app CarQer IQ. Non ci sono ancora prove, e mai lo è stato, che qualcuno di questi dati venga inviato ovunque.
La cosa più grande da togliere a questa notizia è che mentre il QI di Carrier è spaventoso e molti di noi li considerano malvagi, forniscono solo un servizio per raccogliere dati che i vettori e gli OEM mettono a disposizione. Questo deve essere reso più trasparente, perché non andrà mai via - se non ti piace non usare la nostra rete, nessuno ti tiene in mano una pistola alla testa, è probabile che i portatori di posizione sul tema, e in un modo in cui hanno ragione. La nostra scelta in materia è di non spendere i nostri soldi con loro, e il cielo sa che capisco quanto sia impopolare quell'idea in prima persona. Ma le cose sembrano sempre più come i vettori e i produttori hanno bisogno di condividere un bel po 'di colpa qui, e tutto questo casino è un modo semplice per raccogliere i dati che hanno già raccolto.
Quando avremo finito qui, potremo iniziare a vedere come le aziende che si sono precipitate in avanti gridando "Non utilizziamo Carrier IQ sui nostri telefoni" stanno raccogliendo gli stessi dati con qualcosa di diverso da Carrier IQ, quindi possiamo essere sicuri che i cambiamenti siano fatto su tutta la linea contro crocifiggendo una piccola azienda nella Silicon Valley.
Fonte: Vulnfactory; pastebin
