"CarrierIQ software helpt smartphone-gebruikers"
De CarrierIQ software die op 141 miljoen smartphones is geïnstalleerd verstuurt geen persoonlijke gegevens en helpt juist mobiele bellers. Dat stelt beveiligingsonderzoeker Dan Rosenberg na een uitgebreide analyse van de software. De afgelopen weken ontstond er een ware hype rondom de software. Volgens een andere onderzoeker zou die namelijk in het geheim allerlei privégegevens versturen, zoals de inhoud van sms-berichten, toetsaanslagen en andere gegevens. Rosenberg benadrukt dat dit niet het geval is.
De CarrierIQ software wordt op verzoek van telecomaanbieders aangepast om bepaalde meetgegevens te verzamelen. De software ontvangt de gegevens,verzamelt die en stuurt die naar de aanbieder voor analyse. Op deze manier kan een aanbieder bijvoorbeeld zien waar en wanneer er een gesprek verbroken is.
Opslag
Rosenberg analyseerde de CarrierIQ software op een Samsung Epic 4G Touch. Daaruit blijkt dat de CarrierIQ software de inhoud van sms-berichten en websites niet kan opslaan, zelfs als de fabrikanten van smartphones dit zouden willen. "Er is gewoon geen meetgegeven die deze informatie bevat", laat de onderzoeker weten.
De CarrierIQ software op de telefoon van Rosenberg kon wel opslaan welke beltoets werd ingedrukt, om zo de bestemming van een telefoongesprek te achterhalen. Iets wat waarschijnlijk juridisch al is afgedicht. Volledige toetsaanslagen, buiten de beltoetsen om, kunnen wederom niet worden opgeslagen. Wel kan de software in sommige gevallen GPS-locatiegegevens versturen. Ook kan de software bezochte adressen van websites opslaan, waaronder HTTPS-websites, maar niet de inhoud van de pagina of andere HTTP-gegevens.
Voordelen
Volgens Rosenberg heeft het opslaan van deze gegevens "potentiële voordelen" voor het verbeteren van de ervaring van gebruikers op het mobiele netwerk. "Als telecomaanbieders de dekking willen verbeteren, moeten ze weten waar en wanneer de gesprekken verbroken zijn." Fabrikanten die de batterijduur willen verbeteren, kunnen via de software zien welke applicaties de meeste energie verbruiken.
Rosenberg merkt op dat consumenten hun eigen mening hebben of het verzamelen van de gegevens onder de gebruiksvoorwaarden valt, maar het doel achter het verzamelen is niet alleen goedaardig, maar juist bedoeld om gebruikers te helpen, merkt de onderzoeker op.
Wel ziet Rosenberg punten voor verbetering. Zo moeten consumenten zich kunnen afmelden, moet er meer transparantie richting de gebruikers zijn over welke informatie wordt verzameld en moet er toezicht komen om misbruik tegen te gaan. Verder vormen de "debugging logs" een privacyrisico en moeten de fabrikanten die uitschakelen. De enige juridische vraagtekens zet Rosenberg bij het verzamelen van de URLs. "Dat is iets wat verder onderzocht moet worden."
Goh, anders hadden ze het niet gemaakt.
Alleen wegen de nadelen voor de gebruiker niet op tegen eventuele voordelen.
Dus heel simpel, als een leverancier software wil installeren bij een klant moet er een lijst aangeleverd worden van welke software en wat deze globaal doet. En niet in een 135 pagina's tellende 'license agreement' of zo.
Oh, wacht even... Software zoals CarrierIQ (U weet wel... zonder mijn nadrukkelijke toestemming gegevens versturen over een verbinding die IK betaal...) zijn de reden dat ik geen smartfone heb...
Ja, dat zij mijn ex-huisarts ook toen ik vroeg of ik alle gegevens van mijzelf mocht inzien. Maar wat laat hij dan zien en wat niet? Dat zal je nooit weten. En wat stuurt mijn ex-huisarts naar mijn nieuwe huisarts? Dat weet je ook niet en zul je nooit weten. Misschien staat er wel in dat je niet goed aanslaat op diabetes, reuma en dat het met een ander middel wel lukt?
Is de huisarts een verkoper van kwalen? Ja en dat geldt ook voor CarrierIQ en consorten.
Omdat je daar alleen mee kunt bellen en SMS'en hebben de telco's al die gegevens al.
Omdat je daar alleen mee kunt bellen en SMS'en hebben de telco's al die gegevens al.
" Zelfs als mijn huis er betaald voor word, zou ik dit niet durven opschrijven."
Ik hoop dat ik net zo sterk ben.....
Het bezwaar is over de Carrier IQ is dat je niet om toestemming is gevraagd voor het doorsturen van: telefoonnummers en http(s) url's. Met name bij https een kwalijke zaak omdat er in de url-aanvraag normaal beveiligde gegevens zouden kunnen zitten die nu omzeild worden.
Het argument dat het goed voor je is, is daarentegen nog steeds niet onderbouwd: ja, met vaagheid.
Zo maar een paar vragen die bij me opkomen:
- Waar is de open source code van dit geheel?
- Waar is de code-of-proof dit dit verhaal kan staven, ontkrachten?
- Waar zijn de technische bewijzen te downloaden voor zelf onderzoek?
Moderne computerhardware (en mobile smart phones) zijn zo complex, dat zelfs developers geen totaal inhoudelijk beeld krijgen van de WARE MOGELIJKHEDEN van de onderliggende hardware. Ze programmeren hun "operating systems" en "end-user applicaties" aan tegen de API (applicatie programmers interface) die zij weer krijgen van de leverancier van dit apparaat.
Dus.. hoe kan iemand, die niet exact voor de 100% weet hoe een apparaat in elkaar zit, tot de conclusie komen - wat er werkelijk gebeurd in een stukkie hardware wat gemaakt is door een ander? (als hij zelf de inhoudelijke kennis niet heeft)
Een prima gefundeerd artikel met bevindingen van deze onderzoeker. Of dat verder klopt, laat ik aan je eigen intelligentie en verbeelding over. Dat "geen mens" kan weten hoe iets werkt vind ik nogal algemeen en zweverig. Inderdaad, niets is zeker in het leven, maar je kan toch wel redelijk goed reverse engineren met een beetje verstand van zaken. Ook lijkt het me prima mogelijk om na te gaan wat er daadwerkelijk aan data je toestel binnenkomt en verlaat. Al dan niet versleuteld, het lijkt me prima te meten wanneer en hoevaak er data je toestel binnenkomt/verlaat
De piepjes/glitches in je HIFI systeem bijvoorbeeld als je telefoon in de buurt komt of ogenschijnlijk "niks" ligt te doen... Die data zou ik wel eens inzichtelijk willen hebben... Lijkt me ook veel interessanter dan de wetenschap dat er een stukje software op mijn telefoon draait. Want zolang die software niks verstuurd.. lekker boeiend.
Ik wil weten welke data er in/uit mn telefoon komt/gaat en wanneer... Dat het via een USB debugging modus inclusief kabel op een scherm van een laptop verschijnt zegt natuurlijk niet dat het ook over het netwerk verstuurd wordt. Maw... Als mijn oude HIFI set de radiosignalen van mn tel. in bliepjes om kan zetten moet er ook wel een device zijn die al dan niet aangeeft wanneer er data (de data hoeft wat mij betreft niet eens inzichtelijk te zijn) over het GSM/HDSPA netwerk verstuurd... Zodra dat gebeurt op momenten dat je niks doet met je toestel zou het al verdacht/niet nodig zijn... Al zullen providers anders beweren, want hoe weet het netwerk anders waar mijn mobiel is op het moment dat ik gebeld wordt... zit wat in natuurlijk ;-)
http://en.wikipedia.org/wiki/Joint_Test_Action_Group
De piepjes worden gevormd door electromagnetische verstoringen t.g.v. data transmissie door je mobiele telefoon.
Hiervoor zou je bijv een wireless connection sniffer apparaat kunnen gebruiken, om te zien wat er werkelijk gebeurd.
Daarnaast kan je eigen electromagnetische veld om je lichaam heen (genaamd aura of human-energy-field) zo sterkt zijn dat het "interact" of stoort op je hifi apparatuur. Dit geeft meestal een ruisend geluid als je in de buurt van je speakers of antenne komt (en geen piepjes).
GPRS Sniffer
http://www.netscout.com/ScreenShotHtml/products/mobile_intelligence_3.htm
Nokia developer board - thread
http://www.developer.nokia.com/Community/Discussion/showthread.php?160281-how-to-capture-UMTS-GPRS-data-packets
Good luck
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
