image

Geheime rootkit op miljoenen smartphones (video)

woensdag 30 november 2011, 12:14 door Redactie, 36 reacties

Een onderzoeker heeft gedemonstreerd dat er op miljoenen smarthpones een verborgen rootkit zit die persoonlijke informatie opslaat en doorstuurt. De spyware van Carrier IQ slaat toetsaanslagen, geografische locaties en ontvangen sms-berichten op, zo ontdekte app-ontwikkelaar Trevor Eckhart. De onderzoeker plaatste gisteren een video op YouTube, waar hij de werking van de Carrier IQ software laat zien. Die staat standaard op miljoenen smartphones geïnstalleerd. Het bedrijf dreigde Eckhart eerder met juridische stappen omdat hij de software als een rootkit bestempelde, maar bond later in.

"Elke knop die je indrukt voordat je belt wordt al naar de IQ applicatie doorgestuurd", aldus Eckhart. De gegevens, waaronder de inhoud van sms-berichten, worden vervolgens stiekem naar de servers van IQ gestuurd. Het bedrijf ontkent dat de software toetsaanslagen of de inhoud van berichten opslaat, maar Eckhart laat zien dat dit niet het geval is. De software van Carrier IQ zou op veel Amerikaanse telefoons aanwezig zijn, waaronder Android, BlackBerry en Nokia telefoons, maar ook Tablets.

Tool
Volgens Carrier IQ is de software een diagnostische tool, die netwerkaanbieders en fabrikanten gedetailleerde informatie over prestatie- en gespreksproblemen geeft. Daardoor zou de kwaliteit van telefoongesprekken worden verbeterd. Aan het eind van de onderstaande video vraagt Eckhart zich af waarom zijn internetverkeer en sms-berichten worden gelezen, terwijl Carrier IQ dit steeds ontkent.

Reacties (36)
30-11-2011, 12:50 door Riviera
zum kotsen!

Ben blij dat ik een custom rom heb geïnstalleerd waar deze "bundestrojan 2.0" niet op zit..
30-11-2011, 13:13 door [Account Verwijderd]
[Verwijderd]
30-11-2011, 13:28 door Anoniem
Peter V,
ik denk een onderzoeker die daarvoor betaald krijgt.
Start jij de paypal-donatie website vast op? ;-)
30-11-2011, 13:48 door Anoniem
Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg.
30-11-2011, 13:56 door Anoniem
Interessant filmpje..

Ik kan inderdaad op mijn geflashte HTC HD2 met Cyanogenmod deze HTC CIQ applicatie/service niet ontdekken... Dus dat het noodzakelijk zou zijn voor goede belkwaliteit of andere brol wat CIQ beweert is onzin, want ik kan alles met het toestel.

Ik ga thuis bij een ander toestel checken hoe dit daarmee zit inderdaad.. Vooral het https stukje vond ik opzienbarend in het filmpje... Slechte zaak dit!
30-11-2011, 13:58 door Anoniem
Indien gegevens daadwerkelijk ongevraagd naar wie dan ook worden gezonden, zonder dat ik daar als gebruiker van op de hoogte ben, gaat dat een hele grote dikke gerechtelijke aanklacht worden richting de leverancier van mijn telefoon en de verwerker/ontvanger van mijn gegevens!!!!!!
Ze blijven met hun tengels van mijn gegevens af, en al helemaal de informatie die ik zeer persoonlijk acht, waaronder informatie wat ik doe, waar ik ben, met wie ik communiceer en wat ik communiceer!!!!
Zijn ze nu helemaal van de ratten besnuffeld?!!!!
30-11-2011, 14:08 door Anoniem
Door Anoniem: Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg.

Zie het artikel, het is niet alleen Android:
De software van Carrier IQ zou op veel Amerikaanse telefoons aanwezig zijn, waaronder Android, BlackBerry en Nokia telefoons, maar ook Tablets.

Het is overigens niet een OS probleem, maar het is iets wat providers blijkbaar toevoegen.

Wie weet wat er op IOS of WP7 staat? Was er laatst ook niet bekend geworden dat IOS locatiegegevens doorstuurde?
30-11-2011, 14:09 door Anoniem
Hmm, het staat volgens mijn android os niet op mijn htc. Zou het iets Amerikaans zijn? Opgezocht via de manieren van het filmpje.
30-11-2011, 14:25 door Anoniem
Grappige feitje.. 1200 Villa Street in Mountain View, het adres van Carrier IQ, is 3 straten verderop bji Google HQ... ;-) hemelsbreed 2-3 km van elkaar verwijderd...
30-11-2011, 14:37 door Eerde
Typisch gevalletje "Big brother is watching you." Nu maar hopen dat zo'n bedrijf en degene die het standaard hebben laten installeren eens een mega boete van miljarden krijgen omdat ze de privacy van velen hebben geschonden.
30-11-2011, 14:43 door Anoniem
Als je even op de site van de "ontdekker" leest gaat dit inderdaad om US toestellen.

"Carrier IQ (CIQ) sells rootkit software included on many US handsets sold on Sprint, Verizon and more. Devices supported include android phones, Blackberries, Nokias, Tablet devices and more."

Neemt niet weg dat het uitermate dubieus is natuurlijk...
30-11-2011, 14:55 door Anoniem
Dit was al enkele maanden bekend (Link: http://forum.xda-developers.com/showpost.php?p=11763089. En er is nog wel meer gaande, waarbij EFF nu druk doende is om bij te springen met juridische raad. Het vervolg van afgelopen week, leuk leesvoer: http://www.xda-developers.com/android/carrier-iq-sues-treve/).
30-11-2011, 16:02 door [Account Verwijderd]
[Verwijderd]
30-11-2011, 16:10 door Anoniem
http://forum.xda-developers.com/showpost.php?p=17612559&postcount=110

Dit is de tool van Trevor zelf, die unbalanced al noemde.
30-11-2011, 16:16 door Anoniem
Alle gsm-gebruikers in Nederland (en Worldwide) hebben extra (big-data-analyzing-)software aan boord, alleen heet 't anders.(Die kun je zeker niet zo makkelijk scannen & vinden.)
Geen enkele gsm in Nederland is 'veilig'.
Maar dat kan de gewone burger niets schelen, de overheid trouwens ook niet.
30-11-2011, 16:29 door golem
Door Anoniem: Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg.

Dat wil niet zeggen dat je veilig bent, als men er geld mee kan verdienen gaat men
het in ieder geval proberen.
Dus ongetwijfeld liggen ook iphone en blackberry onder vuur.
30-11-2011, 16:55 door RichieB
Door Anoniem: Alle gsm-gebruikers in Nederland (en Worldwide) hebben extra (big-data-analyzing-)software aan boord, alleen heet 't anders.(Die kun je zeker niet zo makkelijk scannen & vinden.)
Kan je je aluhoedje even afzetten, en iets meer inhoudelijk info geven hierover?
30-11-2011, 16:59 door Anoniem
"Currently, Trevor has found CarrierIQ in a number of Sprint phones, including HTC and Samsung Android devices. CarrierIQ is confirmed to be found on the iPhone or on feature phones, but Trevor has found RIM’s Blackberry handsets and several Nokia devices with CarrierIQ on board as well."

Het treft zeker niet alleen Android based telefoons!
30-11-2011, 17:13 door Anoniem
Inderdaad @ RichiB...

@ anoniem van 16:16... Als je dan met dergelijke info komt. Stuur dan tenminste ook even wat bronnen mee. Of iets waaraan wij wat hebben. Zoals je het nu schrijft is het gewoon ordinaire FUD en inhoudelijk totale non-informatie.
30-11-2011, 17:45 door [Account Verwijderd]
[Verwijderd]
30-11-2011, 18:15 door peanuty
Nu mijn vraag; Hoe verwijder ik die jijbhgibhbu
30-11-2011, 18:52 door peanuty
Door Anoniem: Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg.

?? Bij Android wordt bij een app nog aangegeven wat het allemaal doet. Of installeer Permission Monitor.
Bij bijv I-Phone wordt het niet door apps aangegeven... maar dat maakt het nog niet safe of prive. ;)
30-11-2011, 19:46 door Anoniem
Wat ik in de video zie is dat op een telefoon USB debugging wordt aangezet, en dat een scherm wordt getoond waarop live method calls gelogd. Dat "com.android.htc. ..." ziet eruit als typische Java-packagenaamgeving, die is afgeleid van domeinnamen, en Dalvik is op Java gebaseerd.

Carrier IQ linkt vanaf hun homepage naar een persbericht over de consternatie waarin ze stellen dat ze geen toetsaanslagen opnemen of tracking ondersteunen, wat ze zeggen te doen is allerlei aspecten van performance bekijken en daarvoor tellen ze zaken.

http://www.carrieriq.com/Media_Alert_User_Experience_Matters_11_16_11.pdf

Stel dat ze toetsaanslagen tellen. Hoe doe je dat? Door aan de toetsaanslagen-event een eventhandler toe te voegen. Het besturingssysteem bepaalt met welke parameters een eventhandler wordt aangeroepen, da's een voorgeschreven API, en een eventhandler krijgt of hij dat nodig heeft of niet de gegevens van de event door, in dit geval de aangeslagen toets. Die krijgen ze dus ook door als ze alleen maar een tellertje ophogen, dus dat je in de video toetsaanslagen, en bij andere method calls SMS-berichten en URLs doorgegeven ziet worden zegt helemaal niets. Als je alleen wil tellen krijg je ze toch door. Eckhard veronderstelt door de hele video heen dat wat doorgegeven wordt ook gelogd wordt, maar voor zover ik zie toont hij dat nergens aan. Hij komt wel met een zware beschuldiging, en zware beschuldigingen vergen wat mij betreft zwaar bewijs. Ik zie het hem niet leveren.

Nou wordt er niet voor niets geteld, die statistieken gaan wel ergens heen. Persoonlijk vind ik niet alleen dat een gebruiker dat uit moet kunnen schakelen, het moet niet eens zonder bewuste en expliciete toestemming van de gebruiker geactiveerd worden. Dat dat niet gebeurd is beslist niet netjes, maar dit gaat in de verste verte niet zo ver als het loggen van alle toetsaanslagen, SMS-berichten en URLs.
30-11-2011, 21:36 door Anoniem
handmatig quoteje van anoniem(javascript werkt ineens niet)
"Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg."


Ben jij maar lekker blij.

Van http://www.geek.com/articles/mobile/how-much-of-your-phone-is-yours-20111115/

'When CarrierIQ was dubbed one of the Fierce 15, they were working with seven of the top ten major OEM’s, as well as Verizon Wireless, AT&T, and Sprint. Currently, Trevor has found CarrierIQ in a number of Sprint phones, including HTC and Samsung Android devices. CarrierIQ is confirmed to be found on the iPhone or on feature phones, but Trevor has found RIM’s Blackberry handsets and several Nokia devices with CarrierIQ on board as well.
30-11-2011, 22:16 door DarkViewOfTheWorld
Dit is zowat de grootste breach van privacy die ik in lange tijd ben tegengekomen ...
DIT is nu eens iets waar overheden ZWAAR op zouden moeten reageren ... en excuses en beloftes zijn niet voldoende .... harde boetes voor het bedrijf, en gevangenisstraffen voor verantwoordelijken ... END OF STORY
30-11-2011, 22:36 door Anoniem
Ik heb ook even gekeken maar ik zie niks met IQ staan zoals in het filmpje te zien is.
01-12-2011, 07:45 door [Account Verwijderd]
[Verwijderd]
01-12-2011, 07:56 door [Account Verwijderd]
[Verwijderd]
01-12-2011, 09:49 door Anoniem
@rookie... Security mensen die onnodig angst/paniek zaaien en zonder bronnen of links naar echte informatie maar wat lopen te blaten, zijn de echte n00bs. Heeft niemand wat aan. Ik zou zeggen, neem een voorbeeld aan TrevE (ontdekker) en kijk hoe hij zijn argumenten onderbouwd. In mijn optiek is er niks mis/n00berigs aan om iemand met dergelijke FUD uitspraken tot de orde roepen dmv de aluhoedjes opmerking! Waarschuwen voor een eventueel gevaar is iets anders dan blind paniek zaaien!
01-12-2011, 12:26 door Mozes.Kriebel
Door rookie: Een security professional heeft geen smartphone.
Amen to that!

Door rookie: Security mensen, die andere security mensen, aluhoedjes of paranoïde noemen, zijn n00bs volgens de literatuur.
In ieder geval geen security mensen.

On topic: waarom verbaast me dit niet...
01-12-2011, 13:01 door Anoniem
Nu snap ik een ding dus niet. Die informatie wordt toch ergens heen gestuurd? Dat is data, en daar betaal je voor per mb.
Zou je dus een rekening kunnen krijgen voor gebruik dat je... ehm... niet gebruikt hebt?
01-12-2011, 13:16 door Anoniem
Security mensen zijn ook maar gewoon mensen hoor.
Security mensen kunnen prima iemand paranoïde noemen als deze met onzinnige/non info komt, juist omdat echte security experts weten wanneer iets FUD of een realistische dreiging is.

Als security professionals geen smartphones hadden gehad, hadden we dit artikel niet gelezen en niks geweten.
Een security professional weet hoe hij zijn /haar smartphone moet gebruiken zodat de kans op misbruik tot een minimum beperkt blijft. Zoals met alle systemen: Niks is 100% veilig zolang het door mensen bedacht/bediend wordt / menselijke factor een rol speelt...

Rookie wordt afgeluisterd op zijn "niet" smartphone, en alle gesprekken en SMS berichten worden opgeslagen door Big Brother. (dat weet ik toevallig) --> (voorbeeld van zinloos, niet onderbouwd commentaar)

Alle gsm-gebruikers in Nederland (en Worldwide) hebben extra (big-data-analyzing-)software aan boord, alleen heet 't anders.(Die kun je zeker niet zo makkelijk scannen & vinden.)
Geen enkele gsm in Nederland is 'veilig'.
Maar dat kan de gewone burger niets schelen, de overheid trouwens ook niet.

Ik daag Anoniem van 16:16 (30 november) daarom nog steeds uit om met een voorbeeld te komen (a la TrevE) om bovenstaande stelling te onderbouwen...
01-12-2011, 16:27 door Anoniem
Denk dat sommige mensen die in de security-business werken hun baan nog even willen houden.
Je kunt dus niet altijd alle info op het net gooien met specialistische onderbouwing.
Bovendien kun je er zeker van zijn dat je diezelfde dag nog een inval thuis of op de zaak hebt.
Maar als je even rondkijkt op internet zie je al snel wat meer info over spionagesoftware.
http://webwereld.nl/nieuws/108741/westen-verkoopt-spionagesoftware-aan-dictators.html
01-12-2011, 19:10 door [Account Verwijderd]
[Verwijderd]
01-12-2011, 19:12 door [Account Verwijderd]
[Verwijderd]
02-12-2011, 10:06 door Anoniem
Dat het technisch mogelijk is om een mobiel/oude telefoon af te tappen neem ik graag van je aan, maar dat het ook bji iedereen gebeurt kan je absoluut niet bewijzen. Tenzij je bij de overheid werkt, maar dan mag je niks zeggen, of zoals hierboven zo "zielig" wordt gereageerd: Dat ze niets echt technisch gaan onderbouwen omdat ze dan hun baan kwijt kunnen raken. Ik bedoel.. komop, dat is wel de grootste dooddoener die ik sinds lange tijd heb gehoord. Je bent dan wat mij betreft ook een waardeloze expert/of je houd je zelf bezig met deze manier van afluisteren. Als je alles voor jezelf/werkgever houd is het pas een echt stinkend zaakje, zeker als het een publieke zaak betreft. Wat voor expert ben je nou, als je niks deelt met de gemeenschap. Zo zullen de problemen nooit oplossen... Die TrevE laat het toch ook gewoon zien... (alhoewel ik hier ook mijn ernstige kanttekeningen plaats, want zoals ook hier ergens wordt aangehaald... die data is wel zichtbaar op het scherm, maar dat komt uit een usb kabel via debugging mode. Gebeurt het ook zonder die modus?? En als het gebeurt, wie betaalt voor de dataoverdracht? Het zou in theorie namelijk betekenen dat alle data zo goed als 2x vertuurd wordt.

Termen als "duistere features" / "obscure features" ... sorry, ik vind het allemaal nogal vaag. Een wat minder kritisch mens dan ik, zal hiervan dus "bang" worden, om vervolgens nog grotere FUD gaan zaaien/napraten op dergelijk fora. Kom nu eens met wat concreets! Een filmpje met bewijs (a la TrevE) van hoe ze jou testmobiel aftappen.... Want dat gebeurt toch??? (Tenminste, dat maak ik op uit je relaas... en ik mag toch hopen datje zelf wat onderzoek hebt gedaan en niet alleen experts napraat... )

Je citaat snap ik dan ook totaal niet (inkopper), Klinkt erg interessant, maar wat heeft het van doen met bovenstaande probelemen en mijn vraag, anders dan dat er waarschijnlijk dus zelfs in OpenBSD een backdoor zit.. vast wel, maar bewijs het nu eens! En vooral bewijs eens dat het ook echt bij een instantie als bv. de CIA terecht komt... Totdantoe verwijs ik 90% van dergelijk verhalen naar het land der fabelen...

Dat het dus technisch allemaal (allang) mogelijk is neem ik graag aan, maar daar is dan ook echt alles mee gezegd. Een brief was vroeger ook te onderscheppen... Een postduif kon je ook uit de lucht schieten ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.