Haker Androida i profesjonalny konsultant ds. Bezpieczeństwa Dan Rosenberg (możesz go znać jako djrbliss from the Internets) ukończył własne badanie dotyczące Carrier IQ i znalazł interesujące wyniki. Wszystkie te doniesienia o rejestrowaniu naciśnięć klawiszy i szpiegowaniu wiadomości SMS wydają się być obwiniane niewłaściwą stronę, ponieważ jego badania pokazują, że Carrier IQ, jak napisano, może przechwytywać tylko dane, które przewoźnik wysyła do niego (znane jako metryki), a nawet wtedy nadal musi zapoznać się z profilem (potraktuj go jako stronę ustawień dowolnej aplikacji), który przewoźnik napisał do CIQ specjalnie dla swojej instalacji. Jego własnymi słowami:
Drogi Internecie,
CarrierIQ robi wiele złych rzeczy. Jest to potencjalne zagrożenie dla prywatności użytkownika, a użytkownicy powinni mieć możliwość rezygnacji z niego.
Ale ludzie muszą zrozumieć, że istnieje duża różnica między rejestrowaniem zdarzeń, takich jak naciśnięcia klawiszy i adresy URL HTTPS, do debugowania bufor (który sam w sobie jest dość zły) i faktycznie zbiera, przechowuje i przesyła te dane do nośników (co nie zdarzyć). Po przeprowadzeniu inżynierii wstecznej CarrierIQ nie widziałem żadnych dowodów na to, że zbierają coś więcej niż to, co publicznie twierdzili: zanonimizowane dane metryczne. Jest duża różnica między „spójrz, robi coś, kiedy naciskam klawisz” a „wysyła wszystkie moje naciśnięcia klawiszy do operatora!”. Opierając się na tym, co widziałem, w CarrierIQ nie ma kodu, który faktycznie rejestruje naciśnięcia klawiszy w celu gromadzenia danych. Oczywiście fakt, że w tych wydarzeniach są haki, sugeruje, że przyszłe wersje mogą nadużywać tego typu funkcjonalność, a CIQ powinno być pociągane do odpowiedzialności i podlegać ścisłej kontroli, aby ten rodzaj naruszenia prywatności miał miejsce nie występuje. Ale cały ostatni szum w tej sprawie jest w większości bezpodstawny.
Istnieje wiele powodów do niepokoju z powodu CIQ, ale proszę nie wyciągać pochopnych wniosków na podstawie niekompletnych dowodów.
Pozdrowienia,
Dan Rosenberg
A co z tym wszystkim, co widzimy Film Trevora Eckharta przedstawiający EVO w akcji? Oczywiście, że tam jest, więc o co w tym wszystkim chodzi? Nie jesteśmy badaczami bezpieczeństwa, profesjonalnymi ani innymi, ale jesteśmy nerdami, którzy codziennie czytają o exploitach i bezpieczeństwie. Najlepsze, co możemy powiedzieć, to to, że HTC ujawnił te zdarzenia w dzienniku, wysyłając go jako anonimowe dane metryczne do aplikacji Carrier IQ. Nadal nie ma dowodów i nigdy nie było, że jakiekolwiek z tych danych są wysyłane gdziekolwiek.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Największą rzeczą, którą można wyciągnąć z tej wiadomości, jest to, że chociaż IQ Carriera jest przerażające i wielu z nas uważa ich za złych, oni tylko świadczyć usługę gromadzenia danych udostępnianych przez przewoźników i producentów OEM. To musi być bardziej przejrzyste, ponieważ nigdy nie zniknie - jeśli ci się nie podoba, nie używaj naszego sieć, nikt nie trzyma pistoletu przy twojej głowie, prawdopodobnie postawa przewoźników w tej sprawie iw pewnym sensie oni są dobrze. Nasz wybór w tej sprawie to nie wydawanie z nimi pieniędzy, a niebo o tym wie Rozumiem, jak niepopularny jest ten pomysł z pierwszej ręki. Ale rzeczy coraz bardziej przypominają przewoźników i producentów, którzy muszą się nimi podzielić winę tutaj, a cały ten bałagan to prosty sposób na zebranie danych, którymi już byli zbieranie.
Kiedy skończymy tutaj, możemy zacząć przyglądać się, jak firmy, które rzuciły się do przodu, krzycząc „Nie używamy Carrier IQ w naszych telefonach”, zbierają te same dane z czymś innym niż Carrier IQ, więc możemy być pewni, że zmiany są dokonywane we wszystkich obszarach w porównaniu z ukrzyżowaniem małej firmy w Silicon Dolina.
Źródło: Vulnfactory; Pastebin
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Xperia 1 to nadal nasz ulubiony telefon do nagrywania filmów.
Jeśli lubisz nagrywanie wideo, nie szukaj dalej - Sony Xperia 1 oferuje duży ekran, trzy świetne aparaty i niezwykle solidne ręczne sterowanie wideo.