Logo ro.androidermagazine.com
Logo ro.androidermagazine.com

Mai multe cercetări arată exact ce poate face și nu poate face IQ-ul

Anonim

Hackerul Android și consultantul de securitate profesională Dan Rosenberg (este posibil să-l cunoașteți drept djrbliss de la Internets) și-a încheiat propriul studiu despre Carrier IQ și a găsit câteva rezultate interesante. Toate acele rapoarte despre înregistrarea apăsărilor de taste și spionarea mesajelor SMS arată că au fost învinovățite de partea greșită, deoarece cercetările sale arată că Carrier IQ-ul scris, poate capta doar datele pe care le trimite transportatorul (cunoscute drept metrici), și chiar atunci încă trebuie să consulte un profil (gândiți-l la o pagină de setări pentru orice aplicație) pe care un operator de transport a avut CIQ scrie-o special pentru instalarea lor. În propriile sale cuvinte:

Dragă Internet, CarrierIQ face multe lucruri rele. Este un risc potențial pentru confidențialitatea utilizatorilor, iar utilizatorilor ar trebui să li se ofere posibilitatea de a renunța la aceasta.

Dar oamenii trebuie să recunoască că există o mare diferență între înregistrarea evenimentelor precum apăsările de taste și adresele URL HTTPS într-un buffer de depanare (care este destul de rău de la sine) și colectarea, stocarea și transmiterea acestor date către operatorii de transport (ceea ce nu se întâmplă). După carrierIQ-ul de inginerie inversă, nu am văzut nicio dovadă că colectează altceva decât ceea ce au pretins public: date despre valori anonimizate. Există o mare diferență între „aspectul, face ceva când apăs o tastă” și „trimite toate apăsările de la cheie către operator!”. Pe baza celor văzute, nu există niciun cod în CarrierIQ care să înregistreze de fapt apăsări de taste pentru scopuri de colectare a datelor. Desigur, faptul că există legături în aceste evenimente sugerează că versiunile viitoare pot abuza de acest tip de funcționalitate, iar CIQ ar trebui să fie tras la răspundere și să fie sub control atent pentru ca acest tip de invazie a vieții private să nu se producă. Însă tot zgomotul recent pe aceasta este cel mai mult nefondat.

Există o mulțime de motive pentru a vă supăra CIQ, dar vă rugăm să nu treceți la concluzii bazate pe dovezi incomplete.

Salutari,

Dan Rosenberg

Ce zici de toate lucrurile pe care le vedem pe videoclipul EVO în acțiune al lui Trevor Eckhart? Evident, este acolo, deci, ce se întâmplă cu toate astea? Nu suntem cercetători în domeniul securității, profesioniști sau de altfel, dar suntem tocilari care citesc zilnic despre exploatări și securitate. Cel mai bun lucru pe care ne putem da seama este că HTC a expus acele evenimente în jurnal în timp ce le-a trimis ca date metrice anonime aplicației Carrier IQ. Încă nu există dovezi și niciodată nu a fost că vreuna din aceste date este trimisă oriunde.

Cel mai mare lucru de îndepărtat de această știre este că, în timp ce Carrier IQ este înfricoșător, iar mulți dintre noi le consideră rele, acestea oferă doar un serviciu pentru a colecta date pe care operatorii de transport și OEM le pun la dispoziție. Acest lucru trebuie să fie mai transparent, pentru că nu va dispărea niciodată - dacă nu-ți place că nu folosești rețeaua noastră, nimeni nu ține o armă în capul tău, este posibil ca operatorii să poarte poziția pe acest subiect și un mod în care au dreptate. Alegerea noastră în materie este să nu ne cheltuim banii cu ei, iar cerul știe că înțeleg cât de nepopulară este această idee. Dar lucrurile arată din ce în ce mai mult ca transportatorii și producătorii trebuie să împărtășească o parte bună din vină aici, iar această mizerie este peste un mod ușor de a colecta date pe care le-au colectat deja.

Când am terminat aici, putem începe să analizăm modul în care companiile care s-au grăbit să strige „Nu folosim Carrier IQ pe telefoanele noastre” colectează aceleași date cu altceva decât Carrier IQ, deci putem fi siguri că modificările sunt realizate peste bord, comparativ cu răstignirea unei mici companii din Silicon Valley.

Sursa: Vulnfactiv; pastebin