Az elmúlt napokban éles vitákat és indulatokat váltott ki az a hír, hogy amerikai szolgáltatók okostelefonokra egy olyan szoftvert telepítettek, amely láthatatlanul teszi a dolgát, vagyis: naplózza a helyzetünket még akkor is, ha ezt a funkciót letiltjuk; rögzíti a billentyű lenyomásokat és a meglátogatott weboldalakat (még a HTTPS oldalakat is).
A szoftvert egy Androidos HTC készüléken vizsgálták meg (egy Travis nevű úriember), de támogatja a BlackBerry, a Nokia, az Apple és más gyártók készülékeit is. Kiiktatása komolyabb tudás nélkül szinte lehetetlen. Az ilyen szoftvereknél a szoftver jelenlétére utaló „elvárható" minimális figyelemfelhívás, figyelmeztetés pedig teljességgel hiányzik.
Sokakban még az is felmerült, hogy talán az amerikai kormányzat, esetleg a titkosszolgálat, netán a hírszerzés állhat az egész mögött, akik „Nagy Testvér"ként figyelnek minket. A sok interneten keringő információ, tények és tévhitek tisztázása céljából a Carrier IQ interjút adott a neves AllThingsD portálnak, amelyet Chester Wisniewski, a Sophos Canada vezető biztonsági tanácsadójának, a Sophos Naked Security portálon megjelent tolmácsolásában adunk közre.
A Carrier IQ elmagyarázta a szoftverükben található billentyűleütés naplózása mögött álló okokat. Szoftverüket úgy állították be, hogy monitorozza, ne pedig naplózza azokat az adott karaktersorozatra utaló leütéseket, amelyeket a telefonszolgáltatók írnak elő felhasználóiknak diagnosztikai információk begyűjtése, majd számukra történő elküldése céljából.
Az alkalmazás által begyűjtött adatok elsődlegesen az akkumulátorhasználattal, a jelerősség minőségével, a szoftveres összeomlásokkal, a meghiúsult SMS üzenetküldésekkel és hívásokkal kapcsolatosak.
Egy dolog viszont még mindig aggasztó az alkalmazással kapcsolatban, mégpedig az, hogy a felhasználó által meglátogatott URL-eket is begyűjti, amelyek között feltehetően a HTTPS URL-ek is megtalálhatóak.
Az AllThingsD szerint:
Ugyanez igaz a weboldal URL-ekre. A CIQ képes ezeket is elfogni, a velük kapcsolatos tartalmakat viszont nem. Ezért megjegyezhet egy a Facebook-ot elérni képtelen készüléket, de a Facebook tartalmát nem lesz képes megjegyezni.
Habár ártalmatlannak tűnik, mi már aggodalmunkat fejeztük ki egy hasonló szituációval kapcsolatban, amely az Amazon Kindle Fire táblagéppel kapcsolatos. Ennél az eszköznél az Amazon felhője naplózza az összes meglátogatott URL-t.
Míg a weboldalaknak nem kellene mindig feltételezniük, hogy a HTTPS URL-ek mindig titkosítottak, néhányan megteszik. Ez ahhoz vezethet, hogy felhasználónevek, jelszavak és más egyéb egyedi azonosítók beágyazódnak egy URL-be és véletlenségből a mobilszolgáltatókhoz kerülhet a Carrier IQ szoftverhez hasonló alkalmazásokon keresztül.
Az adatvédelem és a magánélet védelmének szempontjából kívánatosabb lenne, ha a hálózati problémák és szoftverhibák ellen segédkező szoftverek úgy lennének beállítva, hogy ne jelentsék le azokat az URL-eket, amelyeket HTTPS-en keresztüli továbbításra szántak.
A Carrier IQ ezen felül azt is kijelentette, hogy a begyűjtött információkat közvetlenül a mobilszolgáltatókhoz küldték, akik az ő ügyfeleik.
A RIM saját helyzetének tisztázása céljából a következő közleményt adta ki a tegnapi napon:
A RIM nem telepítette fel előre a CarrierIQ alkalmazást Blackberry okostelefonjaira és mobilszolgáltató partnerei számára sem engedélyezte, hogy feltelepítsék azt eladás vagy terjesztés előtt.
A Verizon szintén tagadta a Carrier IQ használatát, azon tény ellenére, hogy szinte ugyanilyen információkat gyűjtenek be marketing célokból.
Szóval akkor most miért is van ez a nagy hűhó? Úgy gondolom, hogy a közösségnek tele van már a hócipője azzal, hogy kémkednek utánuk, személyes életük, életterük és szokásaik titkos programokon keresztül megfigyelésre kerül, és egyre bonyolultabbak és összezavarásra alkalmasak az adatvédelmi törvények.
Szerencsétlen dolog, hogy a Carrier IQ nem akkor fedte fel ezeket az információkat, amikor Travis megjelentette ennek a kutatásnak az eredményét. Az is szomorú, hogy az érintett mobilszolgáltatók nem tették lehetővé az információ küldésének letiltását.
Amikor megvettem jelenlegi Androidos telefonomat és beüzemeltem, azonnal szólt, hogy engedélyezni kívánom a helymeghatározó szolgáltatást vagy sem. Ezután megkérdezte, hogy megosztanám helyinformációimat a Google-lel. Mi olyan nehéz ebben?
További információk angol nyelven