"Smartphone 'rootkit' is geen spyware"
De CarrierIQ "rootkit" die op 141 miljoen smartphones is geïnstalleerd, is niet zo gevaarlijk als de afgelopen dagen in de media is beweerd. Dat stelt beveiligingsonderzoeker Dan Rosenberg die het programma reverse engineerde. In een bericht op dumpsite Pastebin.com stelt Rosenberg dat CarrierIQ "een hoop slechte dingen" doet en het een potentieel risico voor de privacy van gebruikers is, maar dat er niet meer wordt opgeslagen dan het bedrijf zelf aangeeft, namelijk geanonimiseerde meetgegevens. Die zouden nodig zijn om de werking van het netwerk en kwaliteit van telefoongesprekken te verbeteren.
"Er is een groot verschil tussen wat het doet als ik een toets indruk of dat het al mijn toetsaanslagen naar de netwerkprovider stuurt. Gebaseerd op wat ik heb gezien is er geen code in CarrierIQ aanwezig die toetsaanslagen opslaat voor het verzamelen van gegevens." Rosenberg maakt zich wel zorgen over de functionaliteit van de software. Toekomstige versies zouden namelijk wel toetsaanslagen kunnen opslaan. "Maar de recente ophef is voornamelijk ongegrond."
De onderzoeker ziet graag dat gebruikers het programma kunnen uitschakelen. "Er zijn tal van redenen om boos over CarrierIQ te zijn, maar trek niet te vlug conclusies gebaseerd op onvolledig bewijs."
Brief
De Amerikaanse Senator Al Franken heeft een brief naar de CEO van CarrierIQ gestuurd, waarin hij om opheldering vraagt. Franken wil weten welke informatie de software opslaat, of de informatie naar CarrierIQ of andere bedrijven wordt teruggestuurd en of de informatie met derde partijen wordt gedeeld. Ook vraagt Franken of CarrierIQ het mogelijk voor gebruikers maakt om het volgen te stoppen.
"Consumenten moeten weten dat hun veiligheid en privacy worden beschermd door de bedrijven waar ze hun gevoelige informatie aan toevertrouwen", aldus de Senator. "De onthulling dat locatie en andere gevoelige data van miljoenen Amerikanen in het geheim wordt opgeslagen en mogelijk verstuurd is erg zorgwekkend."
De software houdt echter wel degelijk alle toetsaanslagen in de gaten. Wat CIQ hier vervolgens mee doet is allerminst duidelijk en wij moeten er maar op vertrouwen dat wat ze er mee doen in orde is. Dat is ongeveer het zelfde verweer als de KPN destijds had met: “Ja, we gebruiken DPI, maar we doen niets verkeerds met de gegevens die we lezen”. Het maakt niet uit wat CIQ met de gegevens doet, het spioneren op zichzelf is verkeerd. Aangezien het ook SMS verkeer lijkt te betreffen, schenden ze er in ieder geval het briefgeheim mee. Wat ze vervolgens met de vergaarde informatie doen is een zaak op zichzelf. Anonimiseren maakt echter niet de illegale onderschepping ongedaan.
Boven alles, het betreft hier duidelijk een rootkit. De software doet er van alles aan om onzichtbaar te zijn. Bovendien is deze rootkit met medeweten van ofwel providers dan wel toestelmakers geïnstalleerd. Onderzoekers die de ernst van de zaak proberen te bagatelliseren door te zeggen dat het enkel om anonieme gegevens gaat begrijpen niet veel van wat er hier werkelijk aan de hand is.
Tot slot, dat Dan Rosenberg (mogelijk) een getalenteerde hacker is, wil nog niet zeggen dat hij ook maar enigszins verstand heeft van de wet of privacy in het algemeen.
Ik vind het vooralsnog een beetje dubbel...
Ik schreef bij het eerdere artikel (woensdag, 19:46) al dat wat ik zag ook event handlers kunnen zijn die nou eenmaal met de inhoud van de event, dus de aangeslagen toetsen en dergelijke, worden aangeroepen en dat dat op zich geen bewijs is dat de gegevens worden gelogd. Het vetgemaakte deel in de quote zie ik als een bevestiging dat ik aardig in de goede richting zat met die gedachtengang.
Natuurlijk kan iedere software die de events ontvangt er potentieel van alles mee doen. Kennelijk is deze interface in Android ingebouwd, anders waren er geen voor een applicatie zichtbare events om op in te haken, en wellicht is dat ook nodig om bepaalde functies mogelijk te maken. Software die bij elke HTTP[S]-request controleert of je geen site waarvan bekend is dat hij drive-by-downloads bevat, ik zuig maar even iets nuttigs uit mijn duim, zal de URL in moeten kunnen zien, en dus op een event daarvoor moeten kunnen inhaken.
De software houdt echter wel degelijk alle toetsaanslagen in de gaten. Wat CIQ hier vervolgens mee doet is allerminst duidelijk en wij moeten er maar op vertrouwen dat wat ze er mee doen in orde is.
Toetsaanslagen ontvangen omdat de API waar je op inhaakt die nou eenmaal doorgeeft is wat anders dan ze inhoudelijk in de gaten houden. En nu iemand de code heeft reverse engineered is denk ik wel duidelijker geworden wat CIQ ermee doet.
Ik vind wat ze wel doen ook niet in orde, althans niet als de gebruiker er niet zelf voor gekozen heeft om eraan mee te doen, niet in staat is het programma te stoppen of alle bevoegdheden van het programma in te trekken. Da's erg zat, maar alleen geanonimiseerde statistieken verzamelen is van een andere orde dan waar de paniekverhalen over gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
