И сагата за шпиониране и нахлуване в поверителността продължава, но този път XDA Recognized Developer TrevE изглежда е засегнал самата сърцевина на повечето от това, което се случва с устройствата. Може би си спомняте от няколко статии назад, че започнахме да говорим за нещо, наречено CIQ или Carrier iQ. Това по същество е част от софтуера, който е вграден в повечето мобилни устройства, не само Android, но и Nokia, Blackberry и вероятно много други. Според TrevE софтуерът се инсталира като руткит софтуер в RAM паметта на устройствата, където се намира. Този софтуер основно е напълно скрит от погледа и в него практически невидим, и най-лошото всички, доста сложни за убиване (някои устройства са по-сложни от други и ще разберете защо след няколко минути). Това получава root права върху устройството, което означава, че то може да прави всичко, което пожелае, и няма да имате какво да кажете за него.
Защо навлизаме в това? Е, преди известно време имах някои разговори напред-назад с TrevE относно всички PoC на HTC, които той е и той започна да се чуди за CIQ, тъй като според него това беше едно от най-лошите неща, които беше открил в HTC код. И така, той реши да започне да копае малко в това и откри, че има много повече да се каже по отношение на този софтуер, отколкото дори производителите биха се осмелили да кажат. Оказва се, че CIQ не е точно това, което много хора не виждат (тъй като е скрито), а е по-скоро много полезен инструмент за системни и мрежови администратори. Инструментите се използват за предоставяне на обратна връзка и подходящи данни за няколко показателя, които могат да помогнат на един от гореспоменатите администратори да отстрани неизправности и да подобри производителността на системата и мрежата. По същество приложението изглежда работи по такъв начин, че позволява на потребителя да предостави необходимата информация чрез анкети и други неща. За да представим нещата по-визуално, това е CIQ
Трябва изглежда катоА ето как всъщност изглежда CIQ съответно в устройствата на Samsung и HTC
Виждате ли разликата? О, и в случай, че се чудите, първото изображение е от "необработено" копие на CIQ. Нашият любим разработчик намери оригинално копие на това заедно с много информация, включително видеоклипове за обучение, ръководства и цял куп материали, които по същество ще накарат косата ви да се изправи. Има много повече от козметични промени във версиите по-горе. Менютата и анкетите са напълно премахнати във версията на HTC и частично в тази на Samsung, което прави невъзможно разбирането, освен ако наистина не знаете какво гледате. Например, така наречената опция за отказ от това изобщо не присъства в устройствата на HTC и е много трудно да се изключи в устройствата на Samsung. Освен това можете да видите някои събития или тригери, които основно ще позволят на това приложение да събира данни (благодарение на XDA Recognized Developer k0nane за вашата работа на устройства Samsung)
Известни задействания, открити на телефони HTC:
Натиснат клавиш в HTCDialer или натиснати клавиши на клавиатурата:Намерение – com.htc.android.iqagent.action.ui01
Приложението е отворено – Намерение – com.htc.android.iqagent.действие.ui15Получени sms – Намерение – com.htc.android.iqagent.action.smsnotifyИзключване/включване на екрана – Намерение – com.htc.android.iqagent.действие.ui02Получено обаждане – Намерение – com.htc.android.iqagent.действие.ui15Медийни статистики – Намерение – com.htc.android.iqagent.действие.mp03Статистика на местоположението – Намерение – com.htc.android.iqagent.действие.lc30
Известни тригери на Samsung предоставена от Член на XDA k0nane :UI01: докосване на екрана на произволно място или натиснат клавиш InputMethod (която и да е софтуерна клавиатура).
NT10: Прочетено HTTP искане.
NT0F: Изпращане на HTTP заявка.
UI11: неизвестен, разположен в класа View, който има свой собствен подклас IQClientThreadRunnable.
AL34: зареждането е започнало в рамка на браузър – URL.
AL35: зареждането е започнало в рамка на браузър – получаване на данни начало и край, изобразяване на страница начало и край.
AL36: дължина на данните.(Горните две се намират и в класовете LoadListener и WebViewCore. Уеб показателите не се намират на Skyrocket, но са на Epic 4G и Epic 4G Touch.)
HW03: състоянието на батерията е променено. (Също така не се намира в Skyrocket.)
Искам още? Видът „показатели“ или данни, които това приложение може да събира. В оригиналната версия на приложението приложението е настроено да събира неща като състояние на мрежата, идентификатор на оборудване и производител и много други. След това всички тези данни се прехвърлят към „портал“, където администраторът може да види, филтрира, настани и виртуално подреди всички показатели, отчетени от приложението, по какъвто начин той/тя намери за добре. Нещо повече, според някои от документите за обучение, CIQ може практически да разглежда всичко като показател и да го записва. Например (страхотен пример от TrevE), да кажем, че мрежов администратор записва данни за хора с прекъснати повиквания в Калифорния в 17:00. Поради всички показатели, които могат да бъдат получени чрез различните тригери, същият мрежов администратор няма просто да разбере, че сте получили прекъснато повикване в 17:00 в Калифорния, но той/тя също ще знае къде в Калифорния сте се намирали, какво сте правили с телефона си в дадения момент, колко пъти сте достъп до вашите приложения до този момент и дори това, което сте въвели в устройството си (не, това последното не е преувеличение, това нещо може да действа като ключов регистратор също). Уплашен ли си вече? Ако не, ето фрагмент от някои от показателите, които това нещо може да събере
След като вече представихме достатъчно факти, нека се потопим направо в същината на проблема. Ние изобщо нямаме глас по този въпрос. Малко можем да направим за събирането на тези данни, без да руутваме устройството и да нарушим гаранциите за тях (не че обикновено ни е грижа да правим това). Но проблемът е, че всички тези данни, цялата тази информация за вас, как използвате вашето устройство, ежедневните ви дейности, всичко, което правите с вашето устройство, се регистрира и продава. Не много отдавна Verizon излезе (вероятно тъй като те видяха това да идва) и реши да предостави на клиентите си опцията да се откажат от тази дейност. По принцип предотвратяване на Big Red да продава вашите данни (но не и да ги събира). Спринт, от друга страна, стигна дотам, че в един момент отрече съществуването му. Знаем, че всичко това е част от договора, който сключвате, когато купувате телефон от тях, нали? грешно! Според Sprint, дори и да купите устройство направо от eBay и да нямате услуга на Sprint (използвайте го като Wifi медиен плейър, ако желаете), Sprint пак може да събира тези данни от вас. Вие сте обвързани и окован с тях, дори ако никога не сте планирали да направите това.
Друг момент е законността на повдигнатите въпроси с вида информация, която събират. Някои данни могат да бъдат от значение за производителността на мрежата и дори за рекламни цели, но да се следи всичко до това, което въвеждате, това е малко прекалено според мнението на този писател. Искам да кажа, какъв вид допустима цел съществува, която може да позволи на компания законно да постави ключов регистратор на нещо и да го използва, когато дори не получавате услуга от тях? На този етап това е далеч отвъд факта, че данните могат потенциално да бъдат достъпни, прихванати или дори да има пропуски в кода. Това е въпрос на нашите права на поверителност като потребители.
Да се защитите от нечестни практики вероятно ще бъдете недоволни, ако се обадите на Sprint точно сега и ги помолите за изход. TrevE обаче предоставя начин за ръчно премахване на тези неща от някои устройства на HTC, докато k0nane предоставя пълен набор от инструменти за премахване за няколко устройства на Samsung. Като алтернатива има персонализирани roms, които са премахнали CIQ и други „услуги“. Моля, опитайте ги, ако не ви е много удобно да редактирате ръчно неща в устройството си.
Това е явно нарушение на правата на потребителите в основата им. Невъзможността да се откажете е направо нелепо и бихме искали да поискаме това да бъде коригирано в предстоящите актуализации на устройства и софтуер. Не забравяйте, че ние може да не сме по-голямата част от вашите потребители/клиенти, но за ваше съжаление, нашите общности са тези, които могат да превърнат усилията ви за продажби в истински кошмар. Потребителите са основните притежатели на ключове и ви предлагаме да спрете да гледате на нас като на знаци за долар, а повече като на хора и клиенти. Като цяло съм не за продажба и моята поверителност е безценен.
Можете да намерите повече информация в оригинална статия в блога от TrevE.
Искате нещо публикувано в Портала? Свържете се с всеки автор на новини.
Благодаря TrevE за цялата си упорита работа. Ти си рок, човече!!!