"Smartphone 'rootkit' is geen spyware"
De CarrierIQ "rootkit" die op 141 miljoen smartphones is geïnstalleerd, is niet zo gevaarlijk als de afgelopen dagen in de media is beweerd. Dat stelt beveiligingsonderzoeker Dan Rosenberg die het programma reverse engineerde. In een bericht op dumpsite Pastebin.com stelt Rosenberg dat CarrierIQ "een hoop slechte dingen" doet en het een potentieel risico voor de privacy van gebruikers is, maar dat er niet meer wordt opgeslagen dan het bedrijf zelf aangeeft, namelijk geanonimiseerde meetgegevens. Die zouden nodig zijn om de werking van het netwerk en kwaliteit van telefoongesprekken te verbeteren.
"Er is een groot verschil tussen wat het doet als ik een toets indruk of dat het al mijn toetsaanslagen naar de netwerkprovider stuurt. Gebaseerd op wat ik heb gezien is er geen code in CarrierIQ aanwezig die toetsaanslagen opslaat voor het verzamelen van gegevens." Rosenberg maakt zich wel zorgen over de functionaliteit van de software. Toekomstige versies zouden namelijk wel toetsaanslagen kunnen opslaan. "Maar de recente ophef is voornamelijk ongegrond."
De onderzoeker ziet graag dat gebruikers het programma kunnen uitschakelen. "Er zijn tal van redenen om boos over CarrierIQ te zijn, maar trek niet te vlug conclusies gebaseerd op onvolledig bewijs."
Brief
De Amerikaanse Senator Al Franken heeft een brief naar de CEO van CarrierIQ gestuurd, waarin hij om opheldering vraagt. Franken wil weten welke informatie de software opslaat, of de informatie naar CarrierIQ of andere bedrijven wordt teruggestuurd en of de informatie met derde partijen wordt gedeeld. Ook vraagt Franken of CarrierIQ het mogelijk voor gebruikers maakt om het volgen te stoppen.
"Consumenten moeten weten dat hun veiligheid en privacy worden beschermd door de bedrijven waar ze hun gevoelige informatie aan toevertrouwen", aldus de Senator. "De onthulling dat locatie en andere gevoelige data van miljoenen Amerikanen in het geheim wordt opgeslagen en mogelijk verstuurd is erg zorgwekkend."
De software houdt echter wel degelijk alle toetsaanslagen in de gaten. Wat CIQ hier vervolgens mee doet is allerminst duidelijk en wij moeten er maar op vertrouwen dat wat ze er mee doen in orde is. Dat is ongeveer het zelfde verweer als de KPN destijds had met: “Ja, we gebruiken DPI, maar we doen niets verkeerds met de gegevens die we lezen”. Het maakt niet uit wat CIQ met de gegevens doet, het spioneren op zichzelf is verkeerd. Aangezien het ook SMS verkeer lijkt te betreffen, schenden ze er in ieder geval het briefgeheim mee. Wat ze vervolgens met de vergaarde informatie doen is een zaak op zichzelf. Anonimiseren maakt echter niet de illegale onderschepping ongedaan.
Boven alles, het betreft hier duidelijk een rootkit. De software doet er van alles aan om onzichtbaar te zijn. Bovendien is deze rootkit met medeweten van ofwel providers dan wel toestelmakers geïnstalleerd. Onderzoekers die de ernst van de zaak proberen te bagatelliseren door te zeggen dat het enkel om anonieme gegevens gaat begrijpen niet veel van wat er hier werkelijk aan de hand is.
Tot slot, dat Dan Rosenberg (mogelijk) een getalenteerde hacker is, wil nog niet zeggen dat hij ook maar enigszins verstand heeft van de wet of privacy in het algemeen.
Ik vind het vooralsnog een beetje dubbel...
Ik schreef bij het eerdere artikel (woensdag, 19:46) al dat wat ik zag ook event handlers kunnen zijn die nou eenmaal met de inhoud van de event, dus de aangeslagen toetsen en dergelijke, worden aangeroepen en dat dat op zich geen bewijs is dat de gegevens worden gelogd. Het vetgemaakte deel in de quote zie ik als een bevestiging dat ik aardig in de goede richting zat met die gedachtengang.
Natuurlijk kan iedere software die de events ontvangt er potentieel van alles mee doen. Kennelijk is deze interface in Android ingebouwd, anders waren er geen voor een applicatie zichtbare events om op in te haken, en wellicht is dat ook nodig om bepaalde functies mogelijk te maken. Software die bij elke HTTP[S]-request controleert of je geen site waarvan bekend is dat hij drive-by-downloads bevat, ik zuig maar even iets nuttigs uit mijn duim, zal de URL in moeten kunnen zien, en dus op een event daarvoor moeten kunnen inhaken.
De software houdt echter wel degelijk alle toetsaanslagen in de gaten. Wat CIQ hier vervolgens mee doet is allerminst duidelijk en wij moeten er maar op vertrouwen dat wat ze er mee doen in orde is.
Toetsaanslagen ontvangen omdat de API waar je op inhaakt die nou eenmaal doorgeeft is wat anders dan ze inhoudelijk in de gaten houden. En nu iemand de code heeft reverse engineered is denk ik wel duidelijker geworden wat CIQ ermee doet.
Ik vind wat ze wel doen ook niet in orde, althans niet als de gebruiker er niet zelf voor gekozen heeft om eraan mee te doen, niet in staat is het programma te stoppen of alle bevoegdheden van het programma in te trekken. Da's erg zat, maar alleen geanonimiseerde statistieken verzamelen is van een andere orde dan waar de paniekverhalen over gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.