:

Szerző: Dojcsák Dániel

2011. december 2. 16:09

A mobilszolgáltatók felelhetnek a Carrier IQ kémprogramért

Robban a Carrier IQ botrány az USA-ban, több szolgáltató kénytelen volt bevallani, hogy teljes megfigyelés alá helyezte előfizetőinek okostelefonjait, naplózva minden lehetséges adatot. Az indoklás szerint ezzel csak a hálózati infrastruktúra optimalizálásához kerestek forrást, de a felelősség alól ez nem menti fel őket.

Néhány nap alatt a figyelem középpontjába került az USA-ban az okostelefonos megfigyelési botrány, és már nem csak a felhasználók, de a szenátorok némelyike is választ követel. A történetbe belekeveredtek a mobilszolgáltatók mellett a készülékgyártók és a platformok fejlesztői is.

Ahogy arról cikkünk második felében beszámoltunk, a botrány néhány nappal ezelőtt pattant ki, amikor egy alkalmazásfejlesztő felfedezte androidos HTC mobilján a Carrier IQ szoftvert. Némi kutatás után kiderült, hogy a program a háttérben, teljesen láthatatlanul képes nyomon követni minden aktivitást a mobilon. Elmenti a meglátogatott weboldalak listáját, a begépelt szövegeket, SMS-eket, sőt, még a gombnyomásokat is rögzíti és természetesen ezeket küldi is tovább egy harmadik félnek.

Nem a gyártók kémkednek

A szoftvert elsőként ugyan egy HTC mobilon fedezték fel, de kiderült, hogy ugyanúgy megtalálható Nokia, Samsung, Blackberry és iPhone készülékeken is. A HTC bevallotta, hogy az érintett amerikai szolgáltatók feltételként szabták meg a Carrier IQ telepítését, nem nagyon volt választásuk. A Nokia és a RIM viszont tagadták, hogy engedélyezték a szoftver használatát, illetve az állították, a szállított eszközökre ők maguk ezt nem is telepítették.

A szolgáltatók viszont szinte minden okostelefon esetében saját ROM-ot használnak, amiben a márkázott alkalmazások és háttérképek közt elrejtették a megfigyelő szoftvert is. A mobilgyártók hiába nem adták hozzájárulásukat ehhez, a program mégis felkerült szinte mindenhová. A HTC és a Samsung nyilatkozatából kiderül, hogy a gyűjtött adatokból hozzájuk nem jutott el semmi, a jelentések a mobilszolgáltató számára készültek, amit azok a Carrier IQ szerveroldali megoldásával dolgoztak fel. Igaz, korábban éppen a HTC is hasonló botrányba keveredett, amikor az USA-ban forgalmazott mobiljain “kémprogramokat” találtak. Ott szintén optimalizálási céllal telepítette a gyártó a szoftvert, de erről elfelejtette megkérdezni a felhasználókat. Az Apple és a Google is többször került kereszttűzbe amiatt, mert az okostelefonok naplózták a földrajzi koordinátákat. Ilyen jellegű konspirációra azonban nem volt még példa korábban, mint a Carrier IQ esetében.

Az Apple is benne van

Az Apple egyébként szintén bevallotta, hogy együttműködött az AT&T és Sprint szolgáltatókkal és telepítette a Carrier IQ-t az iPhone-okra. Viszont az Apple nyilatkozat azt állítja, hogy az iOS 5 frissítésbe már nem került bele teljesen a program, illetve egyébként is tervezte a cég a Carrier IQ teljes felszámolását az iPhone készülékeken a jövőbeni frissítésekkor. Egyelőre csak a Motorola nem nyilatkozott az ügyben, nem derül ki, hogy volt-e gyártói jóváhagyás vagy láttak-e bármit az adatokból.

Az első napok vádaskodásaival ellentétben mára kiderült, hogy itt nem a gyártók és nem is maga a platform, hanem az amerikai mobilszolgáltatók egy része felelős az adatgyűjtési botrányért: a Sprint és az AT&T már vállalta a felelősséget, a T-Mobile és egyes kisebb szolgáltatók még nem nyilatkoztak. A Verzion kategorikusan tagadja a megoldás használatát, ezt alátámasztja, hogy eddig egyetlen, a piros szolgáltató által forgalmazott készüléken sem találták nyomát a Carrier IQ szoftverének.

17:10
 

Carrier IQ Part #2

Még több videó

A vallomás mellé csatolt magyarázat szerint a Sprint kizárólag a készülékhardver és a hálózati teljesítmény monitorozására használta a programot és egyáltalán nem nézett bele a személyes adatokba, mint például e-mailek, sms-ek, böngésző history. Az AT&T a Sprint nyilatkozatát visszhangozta, szintén a hálózati teljesítmény és a hardverek monitorozására hivatkozva. Nem meglepő módon az utoljára nyilatkozó T-Mobile is pontosan ezt mondta el.

A Carrier IQ vezetője a botrány kitörésekor nyilatkozott utoljára és megpróbálta elmagyarázni, hogyan is működik a szoftver. A cég alelnöke, Andrew Coward arról beszélt, hogy a CIQ anonimizálja az adatokat mielőtt visszaküldi azokat a szolgáltatóknak és a gyártóknak, de néhány részlet ettől függetlenül megmarad, mint például a lokációs adatok. Ezt leszámítva viszont a cég semmit nem reagált az amerikai sajtó megkereséseire, mindössze egy szűk szavú sajtóközleményt adtak ki.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A sajtó kutakodása révén biztosra mondható, hogy az AT&T, T-Mobile és a Sprint bizonyos gyártókat szerződésben kötelezett arra, hogy telepítse az alkalmazást, konkrétan a Samsungot és a HTC-t, illetve lehetséges, hogy a Motorolát is. Az egyetlen kérdés ezzel kapcsolatban az, hogy a RIM és a Nokia miként állhatott ellen ennek a kérésnek, illetve a szolgáltatók hogyan tehették meg, hogy a gyártó tudta nélkül utólag mégis felkerült a szoftver.

Aki tudja, kihúzza magát

A botrány terebélyesedése nyomán a sajtó kezdte összemosni a megfigyelési ügyet az Androiddal, ami nyilatkozatra kényszerítette a Google-t is. A keresőóriás álláspontja szerint az Android semmilyen formában nem tartalmazza a Carrier IQ-t, ahogy a Google-lel partnerségben gyártott eszközök sem. Ennek megfelelően a Nexus modellek, illetve a Motorola Droid és Xoom mentesek a kémszoftvertől. A platformgyártók közül a Microsoft és a HP (webOS) is tagadja, hogy támogatták volna az adatszivattyút.

A botrány nyomán a szolgáltatók sorban jelentik be, hogy nem használják az adatgyűjtó alkalmazást, így mostanra a brit szolgáltatók, az O2, Vodafone Three UK és a kanadai Rogers is közölte, hogy náluk nem futott a CIQ. 

Jövő hétre bőven maradt még felderítendő része az ügynek, a kifutása pedig nagyon meghatározó lehet a privát szféra és az adatvédelem jövőbeni kezelésének tekintetében. Arról nem is beszélve, hogy a Carrier IQ fejlesztője is tartozik még egy vallomással azzal kapcsolatban, hogy pontosan mit is csinál a szoftver.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról