image

"Smartphone 'rootkit' is geen spyware"

vrijdag 2 december 2011, 10:02 door Redactie, 4 reacties

De CarrierIQ "rootkit" die op 141 miljoen smartphones is geïnstalleerd, is niet zo gevaarlijk als de afgelopen dagen in de media is beweerd. Dat stelt beveiligingsonderzoeker Dan Rosenberg die het programma reverse engineerde. In een bericht op dumpsite Pastebin.com stelt Rosenberg dat CarrierIQ "een hoop slechte dingen" doet en het een potentieel risico voor de privacy van gebruikers is, maar dat er niet meer wordt opgeslagen dan het bedrijf zelf aangeeft, namelijk geanonimiseerde meetgegevens. Die zouden nodig zijn om de werking van het netwerk en kwaliteit van telefoongesprekken te verbeteren.

"Er is een groot verschil tussen wat het doet als ik een toets indruk of dat het al mijn toetsaanslagen naar de netwerkprovider stuurt. Gebaseerd op wat ik heb gezien is er geen code in CarrierIQ aanwezig die toetsaanslagen opslaat voor het verzamelen van gegevens." Rosenberg maakt zich wel zorgen over de functionaliteit van de software. Toekomstige versies zouden namelijk wel toetsaanslagen kunnen opslaan. "Maar de recente ophef is voornamelijk ongegrond."

De onderzoeker ziet graag dat gebruikers het programma kunnen uitschakelen. "Er zijn tal van redenen om boos over CarrierIQ te zijn, maar trek niet te vlug conclusies gebaseerd op onvolledig bewijs."

Brief
De Amerikaanse Senator Al Franken heeft een brief naar de CEO van CarrierIQ gestuurd, waarin hij om opheldering vraagt. Franken wil weten welke informatie de software opslaat, of de informatie naar CarrierIQ of andere bedrijven wordt teruggestuurd en of de informatie met derde partijen wordt gedeeld. Ook vraagt Franken of CarrierIQ het mogelijk voor gebruikers maakt om het volgen te stoppen.

"Consumenten moeten weten dat hun veiligheid en privacy worden beschermd door de bedrijven waar ze hun gevoelige informatie aan toevertrouwen", aldus de Senator. "De onthulling dat locatie en andere gevoelige data van miljoenen Amerikanen in het geheim wordt opgeslagen en mogelijk verstuurd is erg zorgwekkend."

Reacties (4)
02-12-2011, 11:00 door elmo2you
Leuke afleidingsmanoeuvre is dit. Inderdaad is het minder erg als de software enkel anonieme gegevens naar CIQ stuurt in plaats van letterlijk alle toetsaanslagen.

De software houdt echter wel degelijk alle toetsaanslagen in de gaten. Wat CIQ hier vervolgens mee doet is allerminst duidelijk en wij moeten er maar op vertrouwen dat wat ze er mee doen in orde is. Dat is ongeveer het zelfde verweer als de KPN destijds had met: “Ja, we gebruiken DPI, maar we doen niets verkeerds met de gegevens die we lezen”. Het maakt niet uit wat CIQ met de gegevens doet, het spioneren op zichzelf is verkeerd. Aangezien het ook SMS verkeer lijkt te betreffen, schenden ze er in ieder geval het briefgeheim mee. Wat ze vervolgens met de vergaarde informatie doen is een zaak op zichzelf. Anonimiseren maakt echter niet de illegale onderschepping ongedaan.

Boven alles, het betreft hier duidelijk een rootkit. De software doet er van alles aan om onzichtbaar te zijn. Bovendien is deze rootkit met medeweten van ofwel providers dan wel toestelmakers geïnstalleerd. Onderzoekers die de ernst van de zaak proberen te bagatelliseren door te zeggen dat het enkel om anonieme gegevens gaat begrijpen niet veel van wat er hier werkelijk aan de hand is.

Tot slot, dat Dan Rosenberg (mogelijk) een getalenteerde hacker is, wil nog niet zeggen dat hij ook maar enigszins verstand heeft van de wet of privacy in het algemeen.
02-12-2011, 11:22 door Anoniem
Ondanks dat ik het er mee eens ben dat het natuurlijk niet echt correct is dat er letterlijk toetsaanslagen worden "opgeslagen", wordt er nou niet echt moeite gedaan om onzichtbaar te zijn door deze applicatie. Hij staat gewoon zichtbaar tussen de processen. En CIQ zelf heeft ondanks wat rare sprongen, ook niet echt moeite gedaan om een enorm geheim te maken van hun business...

Ik vind het vooralsnog een beetje dubbel...
02-12-2011, 12:17 door Anoniem
is dit niet afhankelijk van welk systeem gebruikt wordt: Apple of Android? Zichtbaar of niet, toetsaanslagen opnemen?
02-12-2011, 15:42 door Anoniem
Based on what I've seen, there is no code in CarrierIQ that actually records keystrokes for data collection purposes. Of course, the fact that there are hooks in these events suggests that future versions may abuse this type of functionality...

Ik schreef bij het eerdere artikel (woensdag, 19:46) al dat wat ik zag ook event handlers kunnen zijn die nou eenmaal met de inhoud van de event, dus de aangeslagen toetsen en dergelijke, worden aangeroepen en dat dat op zich geen bewijs is dat de gegevens worden gelogd. Het vetgemaakte deel in de quote zie ik als een bevestiging dat ik aardig in de goede richting zat met die gedachtengang.

Natuurlijk kan iedere software die de events ontvangt er potentieel van alles mee doen. Kennelijk is deze interface in Android ingebouwd, anders waren er geen voor een applicatie zichtbare events om op in te haken, en wellicht is dat ook nodig om bepaalde functies mogelijk te maken. Software die bij elke HTTP[S]-request controleert of je geen site waarvan bekend is dat hij drive-by-downloads bevat, ik zuig maar even iets nuttigs uit mijn duim, zal de URL in moeten kunnen zien, en dus op een event daarvoor moeten kunnen inhaken.

elmo2you
De software houdt echter wel degelijk alle toetsaanslagen in de gaten. Wat CIQ hier vervolgens mee doet is allerminst duidelijk en wij moeten er maar op vertrouwen dat wat ze er mee doen in orde is.

Toetsaanslagen ontvangen omdat de API waar je op inhaakt die nou eenmaal doorgeeft is wat anders dan ze inhoudelijk in de gaten houden. En nu iemand de code heeft reverse engineered is denk ik wel duidelijker geworden wat CIQ ermee doet.

Ik vind wat ze wel doen ook niet in orde, althans niet als de gebruiker er niet zelf voor gekozen heeft om eraan mee te doen, niet in staat is het programma te stoppen of alle bevoegdheden van het programma in te trekken. Da's erg zat, maar alleen geanonimiseerde statistieken verzamelen is van een andere orde dan waar de paniekverhalen over gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.