Kdo může za šmírování vašich mobilů? Carrier IQ, operátoři nebo možná zákaznici?

Skandál okolo šmírovacího software od společnosti Carrier IQ je rozměrem a významem označitelný za skandál roku. Ve hře je klasické porušování soukromí lidí bez jejich vědomí, hlad po informacích, utajený šmírovací software, manipulace a snaha vyhnout se skandálu mlžením.

reklama

Připomeňme základní informace (viz Skandál se šmírovacím software od Carrier IQ se rozrůstá, stopy vedou i na iPhone z 1. prosince. Trevor Eckhart objevil v mobilních telefonech s Androidem šmírovací software od společnosti Carrier IQ, zdokumentoval ho (viz CarrierIQ a CarrierIQ Part 2) a upozornil na něj veřejně. 

Carrier IQ proti Eckhartovi vystartovali s klasickou taktikou – zastrašování, hrozba právníky, obviňování ze lží, požadavek na stažení zveřejněných informací, obvinění z porušování autorského zákona (Eckhart připojil do dokumentace i veřejně přístupný „manuál“ od Carrier IQ). Po několika dnech se ukázalo, že tímto způsobem Carrier IQ nic nedosáhne a následovala „omluva“ (viz  Carrier IQ, tvůrcí šmírovacího software, se nakonec omlouvají Trevoru Eckhartovi).

Richard Stallman:This is an example of malicious features in non-free software. Those mobile phones are being run by non-free software, so it’s no surprise that they have malicious features in them. The most commonly used non-free programs do.

Mezitím se ukázalo, že služby Carrier IQ využívají (zejména) američtí mobilní operátoři ve velkém – ve výsledku to znamená, že šmírovací software najdete na milionech telefonů. Z řady telefonů s Androidem jsou tak (v USA, Carrier IQ se dále do světa příliš nedostalo) ušetřeny takřka pouze originální „Nexus“ telefony a Motorola Xoom. Software od Carrier IQ najdete v telefonech od Samsungu (nejrozšířenější chytré telefony) i HTC. Najdete ho ale i telefonech a zařízeních od Apple, tedy zejména v iPhone.

CarrierIQ: Carrier IQ Updates Statement: Operators Use Carrier IQ Software Only to  Diagnose Operational Problems on Networks and Mobile Devices (tisková prohlášení v PDF)

Ve výsledku je tak pravděpodobné, že toto software najdete až na 150 milionech mobilních telefonech – samotné Carrier IQ se ještě stále na www.carrieriq.com „chlubí“ počítadlem – aktuálně ukazujícím 141,342,718.

K čemu má sloužit software od Carrier IQ

Carrier IQ vytvořilo software, který má být použitelný pro diagnostiku mobilní sítě na chytrých telefonech – měl by operátorům pomocí ve zjišťování problémů, slabých míst, přetížení, zádrhelů, nedostatečného pokrytí (zejména z pohledu datové komunikace). Za tímto účelem je také Carrier IQ (pravděpodobně) prodáváno a nasazováno. A až potud vypadá vše jako zcela bezproblémové. Užitečný software, který za předpokladu správného užívání může být prospěšný.

Aby se Carrier IQ v telefonu ocitlo, je samozřejmě potřeba spolupráce jak mobilního operátora, tak výrobce telefonu. Bez nich se do telefonu tento software nedostane, zejména proto, že je nutné upravit mobilní operační systém aby Carrier IQ „skryl“. A také proto, že jde o komerční vztah – pro Carrier IQ jde o službu prodávanou operátorům.

Software od Carrier IQ je diagnostická pomůcka, která může sloužit svému účelu – za předpokladu, že je použita správně, nepředává identifikovatelné informace, není ji možné zneužít, získaná data není možné jakkoliv konkrétně využít či dál prodávat v jiné podobě, než čistě sumární či statistické.

Jak funguje software od Carrier IQ

Software od Carrier IQ označil Trevor Eckhart za „rootkit“ – poměrně oprávněně, protože jde o software mající všechny příznaky pokročilého rootkitu. Operátoři ho bez vědomí zákazníků nahrají do jejich telefonů a není vůbec jednoduché ho objevit. Pokud jeho existenci zákazník zjistí, je prakticky nemožné tento software z telefonu odstranit. A pokud by snad zákazník chtěl zamezit přenášení informací bez jeho vědomí, není to možné. Software funguje automaticky, jakákoliv snaha o jeho ukončení opět vede k jeho novému spuštění. Do mobilního systému je software pověšeno na nejnižší možné úrovni.

Podle toho, co se o software od Carrier IQ podařilo zjistit, může být použito pro nebývalé široké šmírovací praktiky – lokační informace, informace o telefonu, odposlouchávání klávesnice, data z telefonu, obsah SMS, internetovou komunikaci včetně https – to všechno může být automaticky odesíláno „domů“. Zajímavé je, že nikdo pořádně netuší, kam to „domů“ vlastně je – podle všeho to vypadá, že „domů“ je ve skutečnosti ke Carrier IQ, které data zpracovává, ukládá a poté dále využívá.

Využití získaných dat je také věc s velkým otazníkem – od Carrier IQ se nikdy nedozvíte, co vlastně s vašimi osobními daty a údaji dělá. Teoreticky by je mělo v sumarizované anonymizované podobě poskytovat odpovídajícím operátorům – tedy v takové podobě, která by jim  opravdu umožňovala využít je pro zlepšení chodu jejich sítí. Carrier IQ ale získaná data zjevně poskytuje i dalším subjektům, včetně těch, které se zabývají odhady užívání mobilů v USA či návštěvnosti mobilního Internetu.

Co všechno ohledně software od Carrier IQ víme?

Víme toho hodně, ale zároveň málo. Víme co (zhruba) dokáže Carrier IQ sledovat, nevíme ale jak je s daty pracováno. Nevíme ani jak dlouho a jak hodně Carrier IQ zákazníky se svolením operátorů a výrobců šmírovalo. Víme ale také, že Carrier IQ se ze skandálu pokouší dostat tím, že svaluje vinu na výrobce, případně na mobilní operátory. A zde je nutné dodat, že mají velkou měrou pravdu – pokud by výrobci telefonů a operátoři nechtěli něco podobného, do telefonů by to nikdy nedali. Hlad po informacích o zákaznících je ale zjevně vždy větší než zdravý rozum (viz Carrier IQ denies responsiblity for insecure log files, suggests manufacturers are to blame).

Víme také, že na některých telefonech se získané informace ukládaly v čitelné a volně dostupné podobě – mohly tak být získány kýmkoliv/čímkoliv dalším (Carrier IQ v tomto případě jednoznačně tvrdí, že zodpovědnost je na výrobci telefonu, který to umožnil). Stejně tak je jasné, že software s takto širokými možnosti (a hlavně právy) by mohlo být perfektním cílem pro tvůrce mobilních virů.

Samotné Carrier IQ tvrdí, že jejich software žádné „osobní“ informace a údaje neshromažďuje – že sice například víc o přenosu SMS, ale nikoliv o obsahu této zprávy. Eviduje pouze odeslání a to zda bylo úspěšné či nikoliv. Podobná vysvětlení mělo ale Carrier IQ zkusit poskytnout hned na samém počátku. Nebo ještě lepe řečeno, zákazníci s telefony postiženými přítomností tohoto šmírovacího software by měli od samého počátku vědět, co v telefonu mají. A také mít možnost se toho zbavit.

Carrier IQ: While a few individuals have identified that there is a great deal of information available to the Carrier IQ software inside the handset, our software does not record, store or transmit the contents of SMS messages, email, photographs, audio or video. For example, we understand whether an SMS was sent accurately, but do not record or transmit the content of the SMS. We know which applications are draining your battery, but do not capture the screen.

Skandál si samozřejmě vysloužil i pozornost práv­níků a v právním prostředí USA se jistě velmi brzy dočká hromadných žalob. Věnovat se problému chce ale i Kongres, který po Carrier IQ chce vědět, jaké informace vlastně sleduje a co s daty dělá. Totéž chce vědět po AT&T, HTC, Samsungu, Sprintu a jakékoliv další společnosti, která je do skandálu zapojená (viz Lawmakers Go After Carrier IQ Over Privacy Concerns). V rámci amerických zákonů je navíc možné, že Carrier IQ (a další zúčastnění) mohou být vinni z nelegálního odposlouchávání.

Carrier IQ informace získané z telefonů ale neposkytuje pouze operátorům a výrobcům telefonu – mezi zákazníky je i americká společnost Nielsen – ta analyzuje trh v USA a (nejenom) pro mobilní telefony poskytuje informace o jejich využití, penetraci a dalších aspektech (viz Is Carrier IQ a big data mercenary? a Nielsen and Carrier IQ Form Global Alliance to Measure Mobile Service Quality). Nielsen nicméně aktuálně tvrdí, že s Carrier IQ pouze začali analyzovat možnosti využití a k žádným konkrétním aktivitám doposud nedošlo.

V USA využívá služeb od Carrier IQ řada operátorů – AT&T, T-Mobile USA, Sprint jsou prozatím mezi těmi jmenovanými. Verizon je naopak mezi těmi, kteří tuto službu nevyužívají. Software od Carrier IQ najdete i v produktech od Apple, které je využívalo v iOS4 na iPhone a po propuknutí skandálu přispěchalo s vysvětlením, že software sice „je přítomen v iOS5“, ale není aktivní a bude „odstraněn“.

Apple: We stopped supporting Carrier IQ with iOS 5 in most of our products and will remove it completely in a future software update. With any diagnostic data sent to Apple, customers must actively opt-in to share this information, and if they do, the data is sent in an anonymous and encrypted form and does not include any personal information. We never recorded keystrokes, messages or any other personal information for diagnostic data and have no plans to ever do so.

Mezi výrobci telefonů najdete dva poměrně zásadní – HTC a Samsung – kteří toto software využívají. Paradoxem je, že HTC se nechalo slyšet, že sice na své telefony toto software dává, ale žádné informace od Carrier IQ nedostává (viz HTC says it doesn't receive data from Carrier IQ, investigating ways to turn it off) a vinu svádí čistě na americké operátory – ti podle HTC požadují software v telefonech předinstalované.

HTC: Carrier IQ is required on devices by a number of U.S carriers so if consumers or media have any questions about the practices relating to, or data collected by, Carrier IQ we'd advise them to contact their carrier.

It is important to note that HTC is not a customer or partner of Carrier IQ and does not receive data from the application, the company, or carriers that partner with Carrier IQ. HTC is investigating the option to allow consumers to opt-out of data collection by the Carrier IQ application.

Bez iluzí, možnosti software od Carrier IQ jsou obrovské – zejména pokud si uvědomíte, že jedna konkrétní společnost je schopná získávat velmi detailní informace o tom, jak 150 milionů lidí používá mobilní telefony. Kdy je používají, na co je používají, kde je používají. A dělá tak bez jejich vědomí s posvěcením mobilních operátorů či výrobců telefonů – ti ale ve skutečnosti tato data nakonec nedostávají. Sofware od Carrier IQ neexistuje ale jenom pro iPhone (kde Apple vědomě a záměrně muselo tento software implementovat samo) a Android operační systém – existují i varianty pro „feature“ phone (tedy například většinu dnešních běžných levných telefonů od Nokia) a samozřejmě i pro tablety.

newsletter_lupa

       

Jak poznám zda v mém telefonu je software od Carrier IQ?

Kde pravděpodobně Carrier IQ nenajdete, jsou telefony od RIM a Nokia – obě společnosti popřely, že by ho instalovaly nebo i autorizovaly jeho použití. V telefonech mimo USA ho také pravděpodobně nenajdete, ale jisté není nic. Nenajdete  ho ani v telefonech „přímo“ od Google – tedy řadě Nexus telefonů. Pokud používáte Android, můžete využít  Logging Test App (není zdarma) pro zjištění a odstranění Carrier IQ software – problém je, že pro odstranění budete potřebovat „rootnutý“ telefon. V některých telefonech s Androidem  je k nalezení v Nastavení i běžících procesech (zpravidla jako CIQ nebo něco obsahující IQ) a u některých modelů od Samsungu je možné v Nastavení i měnit parametry (a vypnout některé funkce).

Microsoft: Since people are asking– Windows Phones don’t have CarrierIQ on them either. (@joebelfiore)

Carrier IQ software nenajdete ani ve Windows Phone 7 (viz Microsoft confirms Windows Phone 7 devices do not contain Carrier IQ software)

Daniel Dočekal

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.

Školení: Programování v PHP 5

 
  • Nový objektový model se všemi jeho vlastnostmi.
  • Práce s databázemi - MySQLi, SQLite, PDO.
  • Zajištění kompatibility s PHP 4, výhled na PHP 6.

Zjistěte více informací o školení>>

       
57 názorů Vstoupit do diskuse
poslední názor přidán 26. 6. 2012 20:51

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.

Zasílat nově přidané příspěvky e-mailem

Čtěte dále