Android-hacker og profesjonell sikkerhetskonsulent Dan Rosenberg (du kjenner ham kanskje som djrbliss fra Internets) har fullført sin egen studie om Carrier IQ, og funnet noen interessante resultater. Alle rapportene om å logge tastetrykk og spionere på SMS-meldinger ser ut til å ha blitt skyldt på feil parti, siden hans forskning viser at Carrier IQ som skrevet bare kan fange opp data transportøren sender til den (kjent som beregninger), og selv da må den fremdeles konsultere en profil (tenk på den som en innstillingsside for en hvilken som helst app) som en operatør har fått CIQ til å skrive spesielt for installasjonen. Med sine egne ord:
Kjære Internett,
CarrierIQ gjør mange dårlige ting. Det er en potensiell risiko for brukernes personvern, og brukere bør få muligheten til å velge bort det.
Men folk må erkjenne at det er stor forskjell mellom å registrere hendelser som tastetrykk og HTTPS URL-er til feilsøking buffer (som er ganske dårlig i seg selv), og faktisk samle inn, lagre og overføre disse dataene til transportører (som ikke gjør det skje). Etter omvendt konstruksjon av CarrierIQ selv har jeg ikke sett noe bevis for at de samler inn noe mer enn det de offentlig har hevdet: anonymiserte beregningsdata. Det er stor forskjell mellom "se, det gjør noe når jeg trykker på en tast" og "det sender alle tastetrykkene mine til transportøren!". Basert på det jeg har sett, er det ingen kode i CarrierIQ som faktisk registrerer tastetrykk for datainnsamlingsformål. Det faktum at det er kroker i disse hendelsene antyder selvfølgelig at fremtidige versjoner kan misbruke denne typen funksjonalitet, og CIQ bør holdes ansvarlig og være under nøye kontroll slik at denne typen personverninngrep gjør det ikke forekomme. Men all den siste støyen på dette er stort sett ubegrunnet.
Det er mange grunner til å være opprørt over CIQ, men vær så snill å ikke trekke konklusjoner basert på ufullstendige bevis.
Hilsen,
Dan Rosenberg
Så hva med alle tingene vi ser på Trevor Eckharts video av EVO i aksjon? Det er tydeligvis der, så hva skjer med alt det? Vi er ikke sikkerhetsforskere, profesjonelle eller på annen måte, men vi er nerder som leser om utnyttelse og sikkerhet hver dag. Det beste vi kan finne på er at HTC har eksponert disse hendelsene for loggen mens den sendte den som anonyme metriske data til Carrier IQ-appen. Det er fremdeles ingen bevis, og var aldri, at noen av disse dataene sendes hvor som helst.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Den største tingen å ta bort fra denne nyheten er at mens Carrier IQ er skummelt, og mange av oss anser dem onde, de bare tilby en tjeneste for å samle inn data som transportører og OEM-er gjør tilgjengelig. Dette må gjøres mer gjennomsiktig, fordi det aldri kommer til å forsvinne - hvis du ikke liker det, ikke bruk vårt nettverk, ingen holder en pistol mot hodet ditt, er sannsynligvis bærerens holdning til emnet, og på en måte er de det Ikke sant. Vårt valg i saken er å ikke bruke pengene våre med dem, og det vet himmelen Jeg forstår hvor upopulær ideen er fra første hånd. Men ting ser mer og mer ut som transportører og produsenter trenger å dele en god del av skylden her, og hele dette rotet er over en enkel måte å samle inn data de allerede har vært samle inn.
Når vi er ferdige her, kan vi begynne å se på hvordan selskapene som løp frem og ropte "Vi bruker ikke Carrier IQ på telefonene våre" samler inn samme data med noe annet enn Carrier IQ, så vi kan være sikre på at det gjøres endringer over hele linja versus korsfesting av et lite selskap i Silicon Dal.
Kilde: Vulnfactory; Pastebin
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett-smarttelefonserie. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Xperia 1 er fortsatt vår favoritttelefon for videoopptak.
Hvis videoopptak er din greie, så se ikke lenger enn Sony Xperia 1 - den har en stor skjerm, tre flotte kameraer og ekstremt robuste manuelle videokontroller.