image

"CarrierIQ software helpt smartphone-gebruikers"

maandag 5 december 2011, 11:19 door Redactie, 17 reacties

De CarrierIQ software die op 141 miljoen smartphones is geïnstalleerd verstuurt geen persoonlijke gegevens en helpt juist mobiele bellers. Dat stelt beveiligingsonderzoeker Dan Rosenberg na een uitgebreide analyse van de software. De afgelopen weken ontstond er een ware hype rondom de software. Volgens een andere onderzoeker zou die namelijk in het geheim allerlei privégegevens versturen, zoals de inhoud van sms-berichten, toetsaanslagen en andere gegevens. Rosenberg benadrukt dat dit niet het geval is.

De CarrierIQ software wordt op verzoek van telecomaanbieders aangepast om bepaalde meetgegevens te verzamelen. De software ontvangt de gegevens,verzamelt die en stuurt die naar de aanbieder voor analyse. Op deze manier kan een aanbieder bijvoorbeeld zien waar en wanneer er een gesprek verbroken is.

Opslag
Rosenberg analyseerde de CarrierIQ software op een Samsung Epic 4G Touch. Daaruit blijkt dat de CarrierIQ software de inhoud van sms-berichten en websites niet kan opslaan, zelfs als de fabrikanten van smartphones dit zouden willen. "Er is gewoon geen meetgegeven die deze informatie bevat", laat de onderzoeker weten.

De CarrierIQ software op de telefoon van Rosenberg kon wel opslaan welke beltoets werd ingedrukt, om zo de bestemming van een telefoongesprek te achterhalen. Iets wat waarschijnlijk juridisch al is afgedicht. Volledige toetsaanslagen, buiten de beltoetsen om, kunnen wederom niet worden opgeslagen. Wel kan de software in sommige gevallen GPS-locatiegegevens versturen. Ook kan de software bezochte adressen van websites opslaan, waaronder HTTPS-websites, maar niet de inhoud van de pagina of andere HTTP-gegevens.

Voordelen
Volgens Rosenberg heeft het opslaan van deze gegevens "potentiële voordelen" voor het verbeteren van de ervaring van gebruikers op het mobiele netwerk. "Als telecomaanbieders de dekking willen verbeteren, moeten ze weten waar en wanneer de gesprekken verbroken zijn." Fabrikanten die de batterijduur willen verbeteren, kunnen via de software zien welke applicaties de meeste energie verbruiken.

Rosenberg merkt op dat consumenten hun eigen mening hebben of het verzamelen van de gegevens onder de gebruiksvoorwaarden valt, maar het doel achter het verzamelen is niet alleen goedaardig, maar juist bedoeld om gebruikers te helpen, merkt de onderzoeker op.

Wel ziet Rosenberg punten voor verbetering. Zo moeten consumenten zich kunnen afmelden, moet er meer transparantie richting de gebruikers zijn over welke informatie wordt verzameld en moet er toezicht komen om misbruik tegen te gaan. Verder vormen de "debugging logs" een privacyrisico en moeten de fabrikanten die uitschakelen. De enige juridische vraagtekens zet Rosenberg bij het verzamelen van de URLs. "Dat is iets wat verder onderzocht moet worden."

Reacties (17)
05-12-2011, 11:32 door Anoniem
Wat een conclusie, het heeft voordelen.
Goh, anders hadden ze het niet gemaakt.

Alleen wegen de nadelen voor de gebruiker niet op tegen eventuele voordelen.
05-12-2011, 11:45 door Anoniem
Eigenlijk zouden, in het kader van transparatie, hardware fabrikanten verplicht moeten worden om een lijst met voor geinstalleerde software mee te leveren met het device. Fabrikanten die zich hier niet aan houden moeten verplicht worden om klanten een vergoeding te betalen die er niet om liegt. Eigenlijk zou dat voor alle producten (die iets met software doen) verplicht dienen te worden, ben je meteen van rootkits op 'muziek' CD's en zo af zoals Sony een paar jaar geleden deed.

Dus heel simpel, als een leverancier software wil installeren bij een klant moet er een lijst aangeleverd worden van welke software en wat deze globaal doet. En niet in een 135 pagina's tellende 'license agreement' of zo.
05-12-2011, 12:10 door Anoniem
Ik zie ook een punt van verbetering: mij betalen voor het verzamelen van marketing info.

Oh, wacht even... Software zoals CarrierIQ (U weet wel... zonder mijn nadrukkelijke toestemming gegevens versturen over een verbinding die IK betaal...) zijn de reden dat ik geen smartfone heb...
05-12-2011, 12:50 door Anoniem
Het verzamelen van gegevens die je (lekker puh) niet mag zien...
Ja, dat zij mijn ex-huisarts ook toen ik vroeg of ik alle gegevens van mijzelf mocht inzien. Maar wat laat hij dan zien en wat niet? Dat zal je nooit weten. En wat stuurt mijn ex-huisarts naar mijn nieuwe huisarts? Dat weet je ook niet en zul je nooit weten. Misschien staat er wel in dat je niet goed aanslaat op diabetes, reuma en dat het met een ander middel wel lukt?
Is de huisarts een verkoper van kwalen? Ja en dat geldt ook voor CarrierIQ en consorten.
05-12-2011, 13:38 door SirDice
Door Anoniem: Oh, wacht even... Software zoals CarrierIQ (U weet wel... zonder mijn nadrukkelijke toestemming gegevens versturen over een verbinding die IK betaal...) zijn de reden dat ik geen smartfone heb...
Waarom zou dergelijke software niet op een 'gewone' telefoon kunnen?
05-12-2011, 14:00 door Anoniem
"Zo moeten consumenten zich kunnen afmelden" De omgekeerde wereld is, jezelf afmelden van iets waarvan je het bestaan niet weet omdat het een onzichtbare rootkit is. Misschien moet CarrierIQ gewoon vragen of je jouw gegevens mogen verzamelen op JOUW telefoon.
05-12-2011, 14:02 door Anoniem
@SirDice
Omdat je daar alleen mee kunt bellen en SMS'en hebben de telco's al die gegevens al.
05-12-2011, 14:03 door [Account Verwijderd]
[Verwijderd]
05-12-2011, 14:13 door P5ycH0
Tuurlijk. Het registreren van toetsaanslagen, telefoonnummers, inhoud van smsjes is absoluut nodig om te bepalen waarom een gesprek verbroken werd....
05-12-2011, 15:21 door Anoniem
Who the h*ll is Dan Rosenberg? Iemand die controversieel doet om aandacht op zich te vestigen als security researcher...
05-12-2011, 17:13 door SirDice
Door Anoniem: @SirDice
Omdat je daar alleen mee kunt bellen en SMS'en hebben de telco's al die gegevens al.
Dan weten ze nog steeds niet hoe dat specifieke toestel zich gedraagt. Vergeet niet dat ook 'gewone' telefoons firmware hebben die bugs zou kunnen bevatten. Een goed voorbeeld daarvan is de brakke bluetooth stack op Nokia 6210/6310, niet dat bluetooth hier iets mee te maken heeft maar het geeft wel aan dat ook de software van 'gewone' telefoons niet altijd geheel bug vrij is.
05-12-2011, 21:11 door Anoniem
Net een collega aan de smartphone:
" Zelfs als mijn huis er betaald voor word, zou ik dit niet durven opschrijven."
Ik hoop dat ik net zo sterk ben.....
06-12-2011, 01:39 door Anoniem
Als goed was gekeken naar het eerdere onderzoek, dan was dit dus al duidelijk. Rosenberg komt alleen met iets wat dus bekend is en ook zo bekend is gemaakt.

Het bezwaar is over de Carrier IQ is dat je niet om toestemming is gevraagd voor het doorsturen van: telefoonnummers en http(s) url's. Met name bij https een kwalijke zaak omdat er in de url-aanvraag normaal beveiligde gegevens zouden kunnen zitten die nu omzeild worden.

Het argument dat het goed voor je is, is daarentegen nog steeds niet onderbouwd: ja, met vaagheid.
06-12-2011, 07:49 door Dev_Null
Wat een referentie. 1 onderzoek op 1 soort "smartphone" en er lijkt niets meer aan de hand.. Door wie is dit "onderzoek" gedaan? Iemand die zich "security researcher" noemt. of is het een "Dan Rosenberg - Comedian, Host, Writer, Radio Host, Emcee" (volgens Google), http://www.danrosenberg.com/

Zo maar een paar vragen die bij me opkomen:
- Waar is de open source code van dit geheel?
- Waar is de code-of-proof dit dit verhaal kan staven, ontkrachten?
- Waar zijn de technische bewijzen te downloaden voor zelf onderzoek?

Moderne computerhardware (en mobile smart phones) zijn zo complex, dat zelfs developers geen totaal inhoudelijk beeld krijgen van de WARE MOGELIJKHEDEN van de onderliggende hardware. Ze programmeren hun "operating systems" en "end-user applicaties" aan tegen de API (applicatie programmers interface) die zij weer krijgen van de leverancier van dit apparaat.

Dus.. hoe kan iemand, die niet exact voor de 100% weet hoe een apparaat in elkaar zit, tot de conclusie komen - wat er werkelijk gebeurd in een stukkie hardware wat gemaakt is door een ander? (als hij zelf de inhoudelijke kennis niet heeft)
06-12-2011, 08:46 door Anoniem
@Dev Null.. Als je ipv de 3e nou gewoon één vd eerste twee links had gepakt bij Google search naar Dan Rosenberg, had je dit artikel gelezen... http://vulnfactory.org/blog/2011/12/05/carrieriq-the-real-story/#more-305

Een prima gefundeerd artikel met bevindingen van deze onderzoeker. Of dat verder klopt, laat ik aan je eigen intelligentie en verbeelding over. Dat "geen mens" kan weten hoe iets werkt vind ik nogal algemeen en zweverig. Inderdaad, niets is zeker in het leven, maar je kan toch wel redelijk goed reverse engineren met een beetje verstand van zaken. Ook lijkt het me prima mogelijk om na te gaan wat er daadwerkelijk aan data je toestel binnenkomt en verlaat. Al dan niet versleuteld, het lijkt me prima te meten wanneer en hoevaak er data je toestel binnenkomt/verlaat

De piepjes/glitches in je HIFI systeem bijvoorbeeld als je telefoon in de buurt komt of ogenschijnlijk "niks" ligt te doen... Die data zou ik wel eens inzichtelijk willen hebben... Lijkt me ook veel interessanter dan de wetenschap dat er een stukje software op mijn telefoon draait. Want zolang die software niks verstuurd.. lekker boeiend.

Ik wil weten welke data er in/uit mn telefoon komt/gaat en wanneer... Dat het via een USB debugging modus inclusief kabel op een scherm van een laptop verschijnt zegt natuurlijk niet dat het ook over het netwerk verstuurd wordt. Maw... Als mijn oude HIFI set de radiosignalen van mn tel. in bliepjes om kan zetten moet er ook wel een device zijn die al dan niet aangeeft wanneer er data (de data hoeft wat mij betreft niet eens inzichtelijk te zijn) over het GSM/HDSPA netwerk verstuurd... Zodra dat gebeurt op momenten dat je niks doet met je toestel zou het al verdacht/niet nodig zijn... Al zullen providers anders beweren, want hoe weet het netwerk anders waar mijn mobiel is op het moment dat ik gebeld wordt... zit wat in natuurlijk ;-)
06-12-2011, 08:47 door SirDice
Ook een telefoon is te debuggen, mits je weet waar je mee bezig bent.

http://en.wikipedia.org/wiki/Joint_Test_Action_Group
07-12-2011, 09:23 door Dev_Null
De piepjes/glitches in je HIFI systeem bijvoorbeeld als je telefoon in de buurt komt of ogenschijnlijk "niks" ligt te doen... Die data zou ik wel eens inzichtelijk willen hebben...

De piepjes worden gevormd door electromagnetische verstoringen t.g.v. data transmissie door je mobiele telefoon.
Hiervoor zou je bijv een wireless connection sniffer apparaat kunnen gebruiken, om te zien wat er werkelijk gebeurd.

Daarnaast kan je eigen electromagnetische veld om je lichaam heen (genaamd aura of human-energy-field) zo sterkt zijn dat het "interact" of stoort op je hifi apparatuur. Dit geeft meestal een ruisend geluid als je in de buurt van je speakers of antenne komt (en geen piepjes).

GPRS Sniffer
http://www.netscout.com/ScreenShotHtml/products/mobile_intelligence_3.htm
Nokia developer board - thread
http://www.developer.nokia.com/Community/Discussion/showthread.php?160281-how-to-capture-UMTS-GPRS-data-packets

Good luck
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.