Android-Hacker und professioneller Sicherheitsberater Dan Rosenberg (Sie können ihn als kennen djrbliss aus dem Internet) hat seine eigene Studie zum Carrier IQ abgeschlossen und einige interessante Ergebnisse gefunden. Alle diese Berichte über das Protokollieren von Tastenanschlägen und das Ausspionieren von SMS-Nachrichten scheinen der falschen Partei angelastet worden zu sein, da seine Untersuchungen zeigen, dass der geschriebene Carrier IQ nur die Daten erfassen kann, die der Der Netzbetreiber sendet an ihn (so genannte Metriken) und muss auch dann noch ein Profil konsultieren (stellen Sie es sich als Einstellungsseite für jede App vor), das ein Netzbetreiber CIQ speziell für seine Installation schreiben ließ. Mit seinen eigenen Worten:
Liebes Internet,
CarrierIQ macht viele schlechte Dinge. Dies ist ein potenzielles Risiko für die Privatsphäre der Benutzer, und Benutzer sollten die Möglichkeit erhalten, sich dagegen zu entscheiden.
Die Benutzer müssen jedoch erkennen, dass es einen großen Unterschied zwischen der Aufzeichnung von Ereignissen wie Tastenanschlägen und HTTPS-URLs für ein Debugging gibt Puffer (was für sich genommen ziemlich schlecht ist) und tatsächlich das Sammeln, Speichern und Übertragen dieser Daten an Netzbetreiber (was nicht der Fall ist) geschehen). Nach dem Reverse Engineering von CarrierIQ habe ich keine Beweise dafür gesehen, dass sie mehr als das sammeln, was sie öffentlich behauptet haben: anonymisierte Metrikdaten. Es gibt einen großen Unterschied zwischen "Schauen, es macht etwas, wenn ich eine Taste drücke" und "Es sendet alle meine Tastenanschläge an den Träger!". Basierend auf dem, was ich gesehen habe, gibt es in CarrierIQ keinen Code, der tatsächlich Tastenanschläge für Datenerfassungszwecke aufzeichnet. Die Tatsache, dass diese Ereignisse Hooks enthalten, deutet natürlich darauf hin, dass zukünftige Versionen diese Art von Ereignissen möglicherweise missbrauchen Funktionalität und CIQ sollten zur Rechenschaft gezogen und genau unter die Lupe genommen werden, damit diese Art der Verletzung der Privatsphäre funktioniert nicht auftreten. Aber all die jüngsten Geräusche sind größtenteils unbegründet.
Es gibt viele Gründe, sich über CIQ aufzuregen, aber bitte springen Sie nicht zu Schlussfolgerungen, die auf unvollständigen Beweisen beruhen.
Grüße,
Dan Rosenberg
Was ist also mit all dem Zeug, das wir sehen? Trevor Eckharts Video der EVO in Aktion? Es ist offensichtlich da, also was ist mit all dem los? Wir sind keine professionellen oder sonstigen Sicherheitsforscher, aber wir sind Nerds, die jeden Tag über Exploits und Sicherheit lesen. Das Beste, was wir herausfinden können, ist, dass HTC diese Ereignisse dem Protokoll ausgesetzt hat, während es als anonyme Metrikdaten an die Carrier IQ-App gesendet wurde. Es gibt immer noch keine Beweise dafür, dass diese Daten irgendwohin gesendet werden.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Das Größte, was man aus diesen Nachrichten herausholen kann, ist, dass Carrier IQ zwar beängstigend ist und viele von uns sie für böse halten, aber nur für sie Bereitstellung eines Dienstes zum Sammeln von Daten, die Carrier und OEMs zur Verfügung stellen. Dies muss transparenter gemacht werden, da es niemals verschwinden wird - wenn Sie es nicht mögen, verwenden Sie unsere nicht Netzwerk, niemand hält eine Waffe an den Kopf ist wahrscheinlich die Haltung der Träger zu dem Thema, und in gewisser Weise sind sie Recht. Unsere Wahl in dieser Angelegenheit ist, unser Geld nicht mit ihnen auszugeben, und der Himmel weiß es Ich verstehe, wie unbeliebt diese Idee aus erster Hand ist. Aber die Dinge sehen immer mehr so aus, als müssten die Spediteure und Hersteller ein gutes Stück davon teilen Die Schuld hier, und dieses ganze Durcheinander ist über eine einfache Möglichkeit, Daten zu sammeln, die sie bereits waren Sammeln.
Wenn wir hier fertig sind, können wir uns ansehen, wie die Unternehmen, die vorwärts stürmten und "Wir verwenden Carrier IQ nicht auf unseren Handys" riefen, das sammeln Dieselben Daten mit etwas anderem als Carrier IQ, sodass wir sicher sein können, dass Änderungen auf der ganzen Linie vorgenommen werden, anstatt ein kleines Unternehmen in Silicon zu kreuzigen Senke.
Quelle: Vulnfactory; Pastebin
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Das Xperia 1 ist immer noch unser Lieblingstelefon für Videoaufnahmen.
Wenn Sie sich für Videoaufnahmen interessieren, sind Sie beim Sony Xperia 1 genau richtig - es bietet einen großen Bildschirm, drei großartige Kameras und eine äußerst robuste manuelle Videosteuerung.