Maker smartphone-rootkit: wij negeren persoonlijke info
De inhoud van e-mails en sms-berichten, audio, video en foto's op smartphones worden niet door de software van CarrierIQ opgeslagen, zo laat het bedrijf in een nieuwe verklaring weten. De afgelopen dagen kwam CarrierIQ onder vuur te liggen omdat het een 'rootkit' op 141 miljoen smartphones zou hebben geïnstalleerd. Beveiligingsonderzoeker Trevor Eckhart deed onderzoek naar de software en concludeerde dat het om een rootkit gaat.
"Wat de Eckhart video laat zien is dat er veel informatie op een smartphone beschikbaar is", zegt Andrew Coward van CarrierIQ. "Wat het niet laat zien, is hoe al die informatie wordt verwerkt, opgeslagen of verstuurd." Omdat de software zoveel informatie binnenkrijgt betekent nog niet dat het wordt gebruikt om informatie over de gebruiker te verzamelen of die naar de telecomaanbieder door te sturen, merkt Coward op.
Volgens Coward willen telecombedrijven weten als een gesprek wordt verbroken. "Dus slaan we op waar je was toen het gesprek verbroken werd en de locatie van de gebruikte zendmast." Hetzelfde zou worden gedaan bij sms-berichten die niet kunnen worden afgeleverd. Op deze manier zouden aanbieders kunnen zien of het een probleem in het netwerk of het toestel is. "We lezen geen sms-berichten. We zien ze binnenkomen. We zien het bijbehorende telefoonnummer, maar de inhoud van die berichten wordt niet opgeslagen, geanalyseerd of op andere wijze verwerkt."
Het zijn dan ook telecomaanbieders die bepalen welke informatie de CarrierIQ software opslaat en hoe lang. Meestal zou dit voor een periode van dertig dagen gebeuren.
Verklaring
In een nieuwe verklaring stelt het bedrijf dat de werkwijze niet in strijd met de Amerikaanse aftapwetgeving is, zoals een rechtenprofessor eerder meldde. Inmiddels hebben ook verschillende andere onderzoekers naar de software gekeken. Dan Rosenberg reverse engineerde de software en kwam tot de conclusie dat het geen spyware is.
Hij krijgt bijval van onderzoeker Jon Oberheid. "Het spuugt alleen maar debug berichten naar de interne Android logdienst. Het lijkt erop dat CarrierIQ inderdaad meetgegevens verzamelt, maar ik heb geen bewijs gezien dat het toetsaanslagen, sms-berichten of surfgeschiedenis van het apparaat verstuurt."
Het is en blijft keiharde spyware en een rootkit. Ongeacht wat ze met de verzamelde gegevens zouden doen!
CarrierIQ is straks falliet.
dus dat moet voldoende zijn voor een miljoenenclaim in de VS.
Het maakt geen fukkiedukkie uit, of men beweert, dat die
gegevens niet worden gebruiukt. Feit is, dat men ze opo
onrechtmatige wijze heeft toegeëigend.
Belachelijk gewoon..
Niet alleen CarierIQ is verantwoordelijk.. Zeker ook de merknamen door wie je telefoon is gemaakt..
Zij hebben het toegelaten dat het er op kwam..
(En volgens mij zit de bron nog hoger.. bij de regeringen???)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
