Android hacker και επαγγελματίας σύμβουλος ασφαλείας Νταν Ρόζενμπεργκ (μπορεί να τον γνωρίζετε ως djrbliss από το Internets) ολοκλήρωσε τη δική του μελέτη σχετικά με το Carrier IQ και βρήκε μερικά ενδιαφέροντα αποτελέσματα. Όλες αυτές οι αναφορές σχετικά με την καταγραφή πλήκτρων και την κατασκοπεία σε μηνύματα SMS φαίνεται να έχουν κατηγορηθεί σε λάθος συμβαλλόμενο μέρος, καθώς η έρευνά του δείχνει ότι το Carrier IQ ως γραπτό μπορεί να καταγράψει μόνο τα δεδομένα που η εταιρεία κινητής τηλεφωνίας της αποστέλλει (γνωστή ως μετρήσεις) και ακόμη και τότε πρέπει να συμβουλευτείτε ένα προφίλ (θεωρήστε το ως σελίδα ρυθμίσεων για οποιαδήποτε εφαρμογή) ότι ο πάροχος είχε γράψει CIQ ειδικά για την εγκατάστασή τους. Με τα δικά του λόγια:
Αγαπητέ Διαδίκτυο,
Το CarrierIQ κάνει πολλά κακά πράγματα. Είναι πιθανός κίνδυνος για το απόρρητο των χρηστών και στους χρήστες πρέπει να έχουν τη δυνατότητα να εξαιρεθούν από αυτό.
Ωστόσο, οι άνθρωποι πρέπει να αναγνωρίσουν ότι υπάρχει μεγάλη διαφορά μεταξύ καταγραφής συμβάντων όπως πληκτρολογήσεις και HTTPS URL σε εντοπισμό σφαλμάτων buffer (το οποίο είναι πολύ κακό από μόνο του), και στην πραγματικότητα τη συλλογή, αποθήκευση και μετάδοση αυτών των δεδομένων σε μεταφορείς (κάτι που δεν ισχύει συμβεί). Μετά την αντίστροφη μηχανική CarrierIQ, δεν έχω δει καμία απόδειξη ότι συλλέγουν τίποτα περισσότερο από αυτό που έχουν δηλώσει δημόσια: ανώνυμα δεδομένα μετρήσεων. Υπάρχει μια μεγάλη διαφορά μεταξύ "εμφάνιση, κάνει κάτι όταν πατάω ένα πλήκτρο" και "στέλνει όλες μου τις πατήματα πλήκτρων στον μεταφορέα!". Με βάση αυτά που έχω δει, δεν υπάρχει κώδικας στο CarrierIQ που να καταγράφει πατήματα πλήκτρων για σκοπούς συλλογής δεδομένων. Φυσικά, το γεγονός ότι υπάρχουν άγκιστρα σε αυτά τα γεγονότα υποδηλώνει ότι οι μελλοντικές εκδόσεις ενδέχεται να κάνουν κατάχρηση αυτού του τύπου λειτουργικότητα, και το CIQ θα πρέπει να λογοδοτεί και να είναι υπό στενό έλεγχο, έτσι ώστε αυτός ο τύπος εισβολής της ιδιωτικής ζωής δεν συμβαίνει. Όμως ο πρόσφατος θόρυβος σε αυτό είναι ως επί το πλείστον αβάσιμος.
Υπάρχουν πολλοί λόγοι για να ανησυχείτε για το CIQ, αλλά μην παραλείψετε να καταλήξετε σε συμπεράσματα με βάση ελλιπή στοιχεία.
Χαιρετισμοί,
Νταν Ρόζενμπεργκ
Τι γίνεται λοιπόν με όλα τα πράγματα που βλέπουμε Το βίντεο του Trevor Eckhart για το EVO σε δράση? Είναι προφανώς εκεί, λοιπόν, τι συμβαίνει με όλα αυτά; Δεν είμαστε ερευνητές ασφάλειας, επαγγελματίες ή αλλιώς, αλλά είμαστε σπασίκλες που διαβάζουν καθημερινά για την εκμετάλλευση και την ασφάλεια. Το καλύτερο που μπορούμε να καταλάβουμε είναι ότι η HTC έχει εκθέσει αυτά τα συμβάντα στο αρχείο καταγραφής, ενώ το στέλνει ως ανώνυμα δεδομένα μετρήσεων στην εφαρμογή Carrier IQ. Δεν υπάρχουν ακόμη αποδεικτικά στοιχεία, και ποτέ δεν ήταν, ότι κανένα από αυτά τα δεδομένα αποστέλλεται οπουδήποτε.
Η Verizon προσφέρει το Pixel 4a με μόλις $ 10 / μήνα σε νέες Απεριόριστες γραμμές
Το μεγαλύτερο πράγμα που πρέπει να αφαιρέσετε από αυτά τα νέα είναι ότι ενώ το Carrier IQ είναι τρομακτικό και πολλοί από εμάς τους θεωρούμε κακούς, μόνο παρέχει μια υπηρεσία για τη συλλογή δεδομένων που διαθέτουν οι μεταφορείς και οι OEM. Αυτό πρέπει να γίνει πιο διαφανές, γιατί δεν πρόκειται ποτέ να φύγει - αν δεν σας αρέσει, μην χρησιμοποιείτε το δικό μας δίκτυο, κανείς δεν κρατά ένα όπλο στο κεφάλι σας είναι πιθανότατα η στάση των μεταφορέων σχετικά με το θέμα, και κατά κάποιο τρόπο σωστά. Η επιλογή μας στο θέμα είναι να μην ξοδεύουμε τα χρήματά μας μαζί τους, και ο παράδεισος ξέρει Καταλαβαίνω πόσο δημοφιλής αυτή η ιδέα είναι από πρώτο χέρι. Αλλά τα πράγματα μοιάζουν όλο και περισσότερο, όπως οι μεταφορείς και οι κατασκευαστές πρέπει να μοιράζονται ένα καλό κομμάτι το φταίξιμο εδώ, και όλο αυτό το χάος είναι ένας εύκολος τρόπος συλλογής δεδομένων που έχουν ήδη περισυλλογή.
Όταν τελειώσουμε εδώ, μπορούμε να αρχίσουμε να δούμε πώς οι εταιρείες που έσπευσαν να φωνάζουν "Δεν χρησιμοποιούμε το Carrier IQ στα τηλέφωνά μας" συλλέγουν ίδια δεδομένα με κάτι διαφορετικό από το Carrier IQ, οπότε μπορούμε να είμαστε σίγουροι ότι γίνονται αλλαγές σε γενικές γραμμές έναντι της σταύρωσης μιας μικρής εταιρείας στο Silicon Κοιλάδα.
Πηγή: Vulnfactory; Παστέμπιν
Έχετε ακούσει το Android Central Podcast αυτής της εβδομάδας;
Κάθε εβδομάδα, το Android Central Podcast σας προσφέρει τις τελευταίες τεχνολογικές ειδήσεις, αναλύσεις και καυτές λήψεις, με γνωστούς συν-οικοδεσπότες και ειδικούς καλεσμένους.
- Εγγραφείτε στο Pocket Casts: Ήχος
- Εγγραφείτε στο Spotify: Ήχος
- Εγγραφείτε στο iTunes: Ήχος
Ενδέχεται να κερδίσουμε προμήθεια για αγορές χρησιμοποιώντας τους συνδέσμους μας. Μάθε περισσότερα.
Αυτά είναι τα καλύτερα ασύρματα ακουστικά που μπορείτε να αγοράσετε σε κάθε τιμή!
Τα καλύτερα ασύρματα ακουστικά είναι άνετα, υπέροχα, δεν κοστίζουν πολύ και χωράνε εύκολα στην τσέπη.
Όλα όσα πρέπει να γνωρίζετε για το PS5: Ημερομηνία κυκλοφορίας, τιμή και πολλά άλλα.
Η Sony επιβεβαίωσε επίσημα ότι εργάζεται στο PlayStation 5. Εδώ είναι ό, τι γνωρίζουμε μέχρι τώρα.
Η Nokia λανσάρει δύο νέα τηλέφωνα Android One προϋπολογισμού κάτω των 200 $.
Το Nokia 2.4 και το Nokia 3.4 είναι οι τελευταίες προσθήκες στην οικονομική σειρά smartphone της HMD Global. Δεδομένου ότι είναι και οι δύο συσκευές Android One, είναι εγγυημένο ότι θα λαμβάνουν δύο σημαντικές ενημερώσεις λειτουργικού συστήματος και τακτικές ενημερώσεις ασφαλείας για έως και τρία χρόνια.
Το Xperia 1 εξακολουθεί να είναι το αγαπημένο μας τηλέφωνο για λήψη βίντεο.
Εάν η εγγραφή βίντεο είναι το δικό σας πράγμα, τότε μην κοιτάξετε περισσότερο από το Sony Xperia 1 - προσφέρει μια μεγάλη οθόνη, τρεις υπέροχες κάμερες και εξαιρετικά ισχυρά χειροκίνητα χειριστήρια βίντεο.