Android-hacker en professionele beveiligingsadviseur Dan Rosenberg (je kent hem misschien als djrbliss van de Internets) heeft zijn eigen onderzoek naar Carrier IQ afgerond en enkele interessante resultaten gevonden. Al die rapporten over het vastleggen van toetsaanslagen en het bespioneren van sms-berichten lijken te zijn toegeschreven aan de verkeerde partij, aangezien zijn onderzoek aantoont dat Carrier IQ zoals geschreven alleen de gegevens kan vastleggen die de de provider ernaar verzendt (bekend als metrics), en zelfs dan nog een profiel moet raadplegen (zie het als een instellingenpagina voor elke app) dat een provider CIQ heeft laten schrijven, specifiek voor hun installatie. In zijn eigen woorden:
Beste internet,
CarrierIQ doet veel slechte dingen. Het is een mogelijk risico voor de privacy van gebruikers, en gebruikers moeten de mogelijkheid krijgen om ervoor te kiezen.
Maar mensen moeten erkennen dat er een groot verschil is tussen het opnemen van gebeurtenissen zoals toetsaanslagen en HTTPS-URL's voor foutopsporing buffer (wat op zichzelf behoorlijk slecht is), en deze gegevens daadwerkelijk verzamelen, opslaan en verzenden naar dragers (wat niet gebeuren). Na CarrierIQ zelf reverse-engineering, heb ik geen bewijs gezien dat ze iets meer verzamelen dan wat ze publiekelijk hebben beweerd: geanonimiseerde metrische gegevens. Er is een groot verschil tussen "kijk, het doet iets als ik op een toets druk" en "het stuurt al mijn toetsaanslagen naar de koerier!". Gebaseerd op wat ik heb gezien, is er geen code in CarrierIQ die toetsaanslagen daadwerkelijk registreert voor het verzamelen van gegevens. Het feit dat er bij deze gebeurtenissen haken zijn, suggereert natuurlijk dat toekomstige versies misbruik kunnen maken van dit type functionaliteit, en CIQ moeten verantwoordelijk worden gehouden en onder nauwlettend toezicht worden gehouden, zodat dit type inbreuk op de privacy dat doet niet voorkomen. Maar al het recente lawaai hierover is grotendeels ongegrond.
Er zijn tal van redenen om verontrust te zijn over CIQ, maar trek alsjeblieft niet te snel conclusies op basis van onvolledig bewijs.
Vriendelijke groeten,
Dan Rosenberg
Dus hoe zit het met al het spul dat we zien Trevor Eckhart's video van de EVO in actie? Het is duidelijk aanwezig, dus wat is daar aan de hand? We zijn geen beveiligingsonderzoekers, professioneel of anderszins, maar we zijn nerds die elke dag lezen over exploits en beveiliging. Het beste wat we kunnen achterhalen, is dat HTC die gebeurtenissen aan het logboek heeft blootgesteld terwijl het als anonieme metrische gegevens naar de Carrier IQ-app heeft verzonden. Er is nog steeds geen bewijs, en dat was het ook nooit, dat die gegevens overal naartoe worden gestuurd.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
Het belangrijkste dat je uit dit nieuws kunt halen, is dat hoewel Carrier IQ eng is, en velen van ons ze als slecht beschouwen, ze alleen een service bieden om gegevens te verzamelen die vervoerders en OEM's beschikbaar stellen. Dit moet transparanter worden gemaakt, want het zal nooit verdwijnen - als je het niet leuk vindt, gebruik dan onze netwerk, niemand houdt een pistool tegen je hoofd is waarschijnlijk het standpunt van de koerier over het onderwerp, en in zekere zin zijn ze dat ook Rechtsaf. Onze keuze in deze kwestie is om ons geld niet met hen uit te geven, en de hemel weet het Ik begrijp hoe impopulair dat idee uit de eerste hand is. Maar dingen lijken steeds meer op de vervoerders en fabrikanten die er een flink deel van moeten delen de schuld hier, en deze hele puinhoop is meer dan een gemakkelijke manier om gegevens te verzamelen die ze al zijn geweest verzamelen.
Als we hier klaar zijn, kunnen we beginnen te kijken naar hoe de bedrijven die naar voren renden en riepen: "We gebruiken Carrier IQ niet op onze telefoons", de dezelfde gegevens met iets anders dan Carrier IQ, dus we kunnen er zeker van zijn dat er over de hele linie veranderingen worden aangebracht in plaats van een klein bedrijf in Silicon te kruisigen Vallei.
Bron: Vulnfactory; Pastebin
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Leer meer.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
De Xperia 1 is nog steeds onze favoriete telefoon voor het maken van video-opnamen.
Als video-opname jouw ding is, zoek dan niet verder dan de Sony Xperia 1 - hij biedt een groot scherm, drie geweldige camera's en extreem robuuste handmatige videobediening.