zum kotsen!

Ben blij dat ik een custom rom heb geïnstalleerd waar deze "bundestrojan 2.0" niet op zit..

Peter V,
ik denk een onderzoeker die daarvoor betaald krijgt.
Start jij de paypal-donatie website vast op? ;-)

Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg.

Interessant filmpje..

Ik kan inderdaad op mijn geflashte HTC HD2 met Cyanogenmod deze HTC CIQ applicatie/service niet ontdekken... Dus dat het noodzakelijk zou zijn voor goede belkwaliteit of andere brol wat CIQ beweert is onzin, want ik kan alles met het toestel.

Ik ga thuis bij een ander toestel checken hoe dit daarmee zit inderdaad.. Vooral het https stukje vond ik opzienbarend in het filmpje... Slechte zaak dit!

Indien gegevens daadwerkelijk ongevraagd naar wie dan ook worden gezonden, zonder dat ik daar als gebruiker van op de hoogte ben, gaat dat een hele grote dikke gerechtelijke aanklacht worden richting de leverancier van mijn telefoon en de verwerker/ontvanger van mijn gegevens!!!!!!
Ze blijven met hun tengels van mijn gegevens af, en al helemaal de informatie die ik zeer persoonlijk acht, waaronder informatie wat ik doe, waar ik ben, met wie ik communiceer en wat ik communiceer!!!!
Zijn ze nu helemaal van de ratten besnuffeld?!!!!

Zie het artikel, het is niet alleen Android:
Het is overigens niet een OS probleem, maar het is iets wat providers blijkbaar toevoegen.

Wie weet wat er op IOS of WP7 staat? Was er laatst ook niet bekend geworden dat IOS locatiegegevens doorstuurde?

Hmm, het staat volgens mijn android os niet op mijn htc. Zou het iets Amerikaans zijn? Opgezocht via de manieren van het filmpje.

Grappige feitje.. 1200 Villa Street in Mountain View, het adres van Carrier IQ, is 3 straten verderop bji Google HQ... ;-) hemelsbreed 2-3 km van elkaar verwijderd...

Typisch gevalletje "Big brother is watching you." Nu maar hopen dat zo'n bedrijf en degene die het standaard hebben laten installeren eens een mega boete van miljarden krijgen omdat ze de privacy van velen hebben geschonden.

Als je even op de site van de "ontdekker" leest gaat dit inderdaad om US toestellen.

"Carrier IQ (CIQ) sells rootkit software included on many US handsets sold on Sprint, Verizon and more. Devices supported include android phones, Blackberries, Nokias, Tablet devices and more."

Neemt niet weg dat het uitermate dubieus is natuurlijk...

Dit was al enkele maanden bekend (Link: http://forum.xda-developers.com/showpost.php?p=11763089. En er is nog wel meer gaande, waarbij EFF nu druk doende is om bij te springen met juridische raad. Het vervolg van afgelopen week, leuk leesvoer: http://www.xda-developers.com/android/carrier-iq-sues-treve/).

http://forum.xda-developers.com/showpost.php?p=17612559&postcount=110

Dit is de tool van Trevor zelf, die unbalanced al noemde.

Alle gsm-gebruikers in Nederland (en Worldwide) hebben extra (big-data-analyzing-)software aan boord, alleen heet 't anders.(Die kun je zeker niet zo makkelijk scannen & vinden.)
Geen enkele gsm in Nederland is 'veilig'.
Maar dat kan de gewone burger niets schelen, de overheid trouwens ook niet.

Dat wil niet zeggen dat je veilig bent, als men er geld mee kan verdienen gaat men
het in ieder geval proberen.
Dus ongetwijfeld liggen ook iphone en blackberry onder vuur.

Kan je je aluhoedje even afzetten, en iets meer inhoudelijk info geven hierover?

"Currently, Trevor has found CarrierIQ in a number of Sprint phones, including HTC and Samsung Android devices. CarrierIQ is confirmed to be found on the iPhone or on feature phones, but Trevor has found RIM’s Blackberry handsets and several Nokia devices with CarrierIQ on board as well."

Het treft zeker niet alleen Android based telefoons!

Inderdaad @ RichiB...

@ anoniem van 16:16... Als je dan met dergelijke info komt. Stuur dan tenminste ook even wat bronnen mee. Of iets waaraan wij wat hebben. Zoals je het nu schrijft is het gewoon ordinaire FUD en inhoudelijk totale non-informatie.

Nu mijn vraag; Hoe verwijder ik die jijbhgibhbu

?? Bij Android wordt bij een app nog aangegeven wat het allemaal doet. Of installeer Permission Monitor.
Bij bijv I-Phone wordt het niet door apps aangegeven... maar dat maakt het nog niet safe of prive. ;)

Wat ik in de video zie is dat op een telefoon USB debugging wordt aangezet, en dat een scherm wordt getoond waarop live method calls gelogd. Dat "com.android.htc. ..." ziet eruit als typische Java-packagenaamgeving, die is afgeleid van domeinnamen, en Dalvik is op Java gebaseerd.

Carrier IQ linkt vanaf hun homepage naar een persbericht over de consternatie waarin ze stellen dat ze geen toetsaanslagen opnemen of tracking ondersteunen, wat ze zeggen te doen is allerlei aspecten van performance bekijken en daarvoor tellen ze zaken.

http://www.carrieriq.com/Media_Alert_User_Experience_Matters_11_16_11.pdf

Stel dat ze toetsaanslagen tellen. Hoe doe je dat? Door aan de toetsaanslagen-event een eventhandler toe te voegen. Het besturingssysteem bepaalt met welke parameters een eventhandler wordt aangeroepen, da's een voorgeschreven API, en een eventhandler krijgt of hij dat nodig heeft of niet de gegevens van de event door, in dit geval de aangeslagen toets. Die krijgen ze dus ook door als ze alleen maar een tellertje ophogen, dus dat je in de video toetsaanslagen, en bij andere method calls SMS-berichten en URLs doorgegeven ziet worden zegt helemaal niets. Als je alleen wil tellen krijg je ze toch door. Eckhard veronderstelt door de hele video heen dat wat doorgegeven wordt ook gelogd wordt, maar voor zover ik zie toont hij dat nergens aan. Hij komt wel met een zware beschuldiging, en zware beschuldigingen vergen wat mij betreft zwaar bewijs. Ik zie het hem niet leveren.

Nou wordt er niet voor niets geteld, die statistieken gaan wel ergens heen. Persoonlijk vind ik niet alleen dat een gebruiker dat uit moet kunnen schakelen, het moet niet eens zonder bewuste en expliciete toestemming van de gebruiker geactiveerd worden. Dat dat niet gebeurd is beslist niet netjes, maar dit gaat in de verste verte niet zo ver als het loggen van alle toetsaanslagen, SMS-berichten en URLs.

handmatig quoteje van anoniem(javascript werkt ineens niet)
"Goh...ben ik blij dat ik niets heb met Android erop. Wat een troep zeg."


Ben jij maar lekker blij.

Van http://www.geek.com/articles/mobile/how-much-of-your-phone-is-yours-20111115/

'When CarrierIQ was dubbed one of the Fierce 15, they were working with seven of the top ten major OEM’s, as well as Verizon Wireless, AT&T, and Sprint. Currently, Trevor has found CarrierIQ in a number of Sprint phones, including HTC and Samsung Android devices. CarrierIQ is confirmed to be found on the iPhone or on feature phones, but Trevor has found RIM’s Blackberry handsets and several Nokia devices with CarrierIQ on board as well.

Dit is zowat de grootste breach van privacy die ik in lange tijd ben tegengekomen ...
DIT is nu eens iets waar overheden ZWAAR op zouden moeten reageren ... en excuses en beloftes zijn niet voldoende .... harde boetes voor het bedrijf, en gevangenisstraffen voor verantwoordelijken ... END OF STORY

Ik heb ook even gekeken maar ik zie niks met IQ staan zoals in het filmpje te zien is.

@rookie... Security mensen die onnodig angst/paniek zaaien en zonder bronnen of links naar echte informatie maar wat lopen te blaten, zijn de echte n00bs. Heeft niemand wat aan. Ik zou zeggen, neem een voorbeeld aan TrevE (ontdekker) en kijk hoe hij zijn argumenten onderbouwd. In mijn optiek is er niks mis/n00berigs aan om iemand met dergelijke FUD uitspraken tot de orde roepen dmv de aluhoedjes opmerking! Waarschuwen voor een eventueel gevaar is iets anders dan blind paniek zaaien!

Amen to that!

In ieder geval geen security mensen.

On topic: waarom verbaast me dit niet...

Nu snap ik een ding dus niet. Die informatie wordt toch ergens heen gestuurd? Dat is data, en daar betaal je voor per mb.
Zou je dus een rekening kunnen krijgen voor gebruik dat je... ehm... niet gebruikt hebt?

Security mensen zijn ook maar gewoon mensen hoor.
Security mensen kunnen prima iemand paranoïde noemen als deze met onzinnige/non info komt, juist omdat echte security experts weten wanneer iets FUD of een realistische dreiging is.

Als security professionals geen smartphones hadden gehad, hadden we dit artikel niet gelezen en niks geweten.
Een security professional weet hoe hij zijn /haar smartphone moet gebruiken zodat de kans op misbruik tot een minimum beperkt blijft. Zoals met alle systemen: Niks is 100% veilig zolang het door mensen bedacht/bediend wordt / menselijke factor een rol speelt...

Rookie wordt afgeluisterd op zijn "niet" smartphone, en alle gesprekken en SMS berichten worden opgeslagen door Big Brother. (dat weet ik toevallig) --> (voorbeeld van zinloos, niet onderbouwd commentaar)


Ik daag Anoniem van 16:16 (30 november) daarom nog steeds uit om met een voorbeeld te komen (a la TrevE) om bovenstaande stelling te onderbouwen...

Denk dat sommige mensen die in de security-business werken hun baan nog even willen houden.
Je kunt dus niet altijd alle info op het net gooien met specialistische onderbouwing.
Bovendien kun je er zeker van zijn dat je diezelfde dag nog een inval thuis of op de zaak hebt.
Maar als je even rondkijkt op internet zie je al snel wat meer info over spionagesoftware.
http://webwereld.nl/nieuws/108741/westen-verkoopt-spionagesoftware-aan-dictators.html

Dat het technisch mogelijk is om een mobiel/oude telefoon af te tappen neem ik graag van je aan, maar dat het ook bji iedereen gebeurt kan je absoluut niet bewijzen. Tenzij je bij de overheid werkt, maar dan mag je niks zeggen, of zoals hierboven zo "zielig" wordt gereageerd: Dat ze niets echt technisch gaan onderbouwen omdat ze dan hun baan kwijt kunnen raken. Ik bedoel.. komop, dat is wel de grootste dooddoener die ik sinds lange tijd heb gehoord. Je bent dan wat mij betreft ook een waardeloze expert/of je houd je zelf bezig met deze manier van afluisteren. Als je alles voor jezelf/werkgever houd is het pas een echt stinkend zaakje, zeker als het een publieke zaak betreft. Wat voor expert ben je nou, als je niks deelt met de gemeenschap. Zo zullen de problemen nooit oplossen... Die TrevE laat het toch ook gewoon zien... (alhoewel ik hier ook mijn ernstige kanttekeningen plaats, want zoals ook hier ergens wordt aangehaald... die data is wel zichtbaar op het scherm, maar dat komt uit een usb kabel via debugging mode. Gebeurt het ook zonder die modus?? En als het gebeurt, wie betaalt voor de dataoverdracht? Het zou in theorie namelijk betekenen dat alle data zo goed als 2x vertuurd wordt.

Termen als "duistere features" / "obscure features" ... sorry, ik vind het allemaal nogal vaag. Een wat minder kritisch mens dan ik, zal hiervan dus "bang" worden, om vervolgens nog grotere FUD gaan zaaien/napraten op dergelijk fora. Kom nu eens met wat concreets! Een filmpje met bewijs (a la TrevE) van hoe ze jou testmobiel aftappen.... Want dat gebeurt toch??? (Tenminste, dat maak ik op uit je relaas... en ik mag toch hopen datje zelf wat onderzoek hebt gedaan en niet alleen experts napraat... )

Je citaat snap ik dan ook totaal niet (inkopper), Klinkt erg interessant, maar wat heeft het van doen met bovenstaande probelemen en mijn vraag, anders dan dat er waarschijnlijk dus zelfs in OpenBSD een backdoor zit.. vast wel, maar bewijs het nu eens! En vooral bewijs eens dat het ook echt bij een instantie als bv. de CIA terecht komt... Totdantoe verwijs ik 90% van dergelijk verhalen naar het land der fabelen...

Dat het dus technisch allemaal (allang) mogelijk is neem ik graag aan, maar daar is dan ook echt alles mee gezegd. Een brief was vroeger ook te onderscheppen... Een postduif kon je ook uit de lucht schieten ;-)