Ang hacker ng Android at propesyonal na tagapayo ng seguridad na si Dan Rosenberg (maaaring kilala mo siya bilang djrbliss mula sa Internets) ay nakumpleto ang kanyang sariling pag-aaral sa Carrier IQ, at natagpuan ang ilang mga kagiliw-giliw na mga resulta. Ang lahat ng mga ulat tungkol sa pag-log ng mga keystroke at pag-espiya sa mga mensahe ng SMS ay tumingin na masisisi sa maling partido, dahil ang kanyang pananaliksik ay nagpapakita na ang Carrier IQ bilang nakasulat ay maaari lamang makuha ang data na ipinadala ng carrier dito (kilala bilang mga sukatan), at kahit na pagkatapos kailangan pa ring kumonsulta sa isang profile (isipin ito bilang isang pahina ng mga setting para sa anumang app) na ang isang carrier ay nagkaroon ng CIQ na isulat ang partikular para sa kanilang pag-install. Sa kanyang sariling mga salita:
Mahal na Internet, Ang CarrierIQ ay gumagawa ng maraming masamang bagay. Ito ay isang potensyal na peligro sa privacy ng gumagamit, at ang mga gumagamit ay dapat bigyan ng kakayahang mag-opt out dito.
Ngunit kailangang kilalanin ng mga tao na mayroong malaking pagkakaiba sa pagitan ng pag-record ng mga kaganapan tulad ng mga keystroke at mga URL ng HTTPS sa isang debugging buffer (na medyo masama sa kanyang sarili), at aktwal na pagkolekta, pag-iimbak, at paglilipat ng data na ito sa mga carrier (na hindi nangyari). Matapos ang reverse engineering CarrierIQ sa aking sarili, wala akong nakitang katibayan na nangongolekta sila ng anuman kaysa sa kanilang inangkin sa publiko: ang hindi nagpapakilala na data ng sukatan. Mayroong malaking pagkakaiba sa pagitan ng "hitsura, may ginagawa ito kapag pinindot ko ang isang key" at "ipinapadala nito ang lahat ng aking mga keystroke sa carrier!". Batay sa nakita ko, walang code sa CarrierIQ na aktwal na nagtatala ng mga keystroke para sa mga layunin ng pagkolekta ng data. Siyempre, ang katotohanan na may mga kawit sa mga kaganapang ito ay nagmumungkahi na ang mga hinaharap na bersyon ay maaaring abusuhin ang ganitong uri ng pag-andar, at ang CIQ ay dapat na gaganapin na may pananagutan at sa ilalim ng malapit na pagsusuri upang ang ganitong uri ng pagsalakay sa privacy ay hindi mangyayari. Ngunit ang lahat ng mga kamakailan-lamang na ingay sa ito ay halos walang batayan.
Mayroong maraming mga kadahilanan na magalit tungkol sa CIQ, ngunit mangyaring huwag tumalon sa mga konklusyon batay sa hindi kumpletong ebidensya.
Regards,
Dan Rosenberg
Kaya ano ang tungkol sa lahat ng mga bagay na nakikita natin sa video ng EVO ni Trevor Eckhart? Malinaw na doon, kaya ano ang nangyayari sa lahat? Hindi kami mga mananaliksik sa seguridad, propesyonal o kung hindi man, ngunit kami ay mga nerd na nagbabasa tungkol sa mga pagsasamantala at seguridad araw-araw. Ang pinakamahusay na maaari naming malaman ay ang HTC ay nakalantad ang mga kaganapan sa log habang ipinapadala ito bilang hindi nagpapakilalang data ng sukatan sa Carrier IQ app. Wala pa ring katibayan, at hindi kailanman, na ang alinman sa data na iyon ay ipinadala kahit saan.
Ang pinakamalaking bagay na aalisin sa balitang ito ay habang nakakatakot ang Carrier IQ, at marami sa atin ang itinuturing na kasamaan, nagbibigay lamang sila ng isang serbisyo upang mangolekta ng data na magagamit ng mga carrier at OEM. Kailangang gawin itong mas malinaw, dahil hindi kailanman ito aalis - kung hindi mo gusto ito ay hindi gumagamit ng aming network, walang sinuman ang may hawak na baril sa iyong ulo ay malamang na ang tindig ng mga tagadala sa paksa, at sa isang paraan na tama sila. Ang aming napili sa bagay na ito ay ang hindi gastusin ang aming pera sa kanila, at alam ng langit na naiintindihan ko kung gaano kalaki ang ideyang iyon. Ngunit ang mga bagay ay naghahanap ng higit pa at higit pa tulad ng mga tagadala at tagagawa ay kailangang magbahagi ng isang mahusay na sisihin dito, at ang buong gulo ay higit sa isang madaling paraan upang mangolekta ng data na nakolekta na nila.
Kapag natapos na tayo dito, maaari nating simulan ang pagtingin kung paano ang mga kumpanya na nagmamadaling sumigaw ng "Hindi namin ginagamit ang Carrier IQ sa aming mga telepono" ay nangongolekta ng parehong data na may ibang bagay kaysa sa Carrier IQ, kaya't masiguro nating ang mga pagbabago ay ginawa sa buong lupon kumpara sa pagpapako sa isang maliit na kumpanya sa Silicon Valley.
Pinagmulan: Vulnfactory; Pastebin
