Og sagaen om spion og invasion af privatlivets fred fortsætter, men denne gang er XDA Recognized Developer TrevE ser ud til at have ramt selve kernen af det meste af det, der sker med enheder. Du kan måske huske fra et par artikler tilbage, at vi begyndte at tale om noget, der hedder CIQ eller Carrier iQ. Dette er i det væsentlige et stykke software, der er indlejret i de fleste mobile enheder, ikke kun Android, men Nokia, Blackberry og sandsynligvis mange flere. Ifølge TrevE er softwaren installeret som en rootkit-software i RAM'en på enheder, hvor den befinder sig. Denne software er dybest set fuldstændig skjult og praktisk talt usynlig i den, og det værste er alle, ret komplicerede at dræbe (nogle enheder mere end andre, og du vil se hvorfor i nogle få minutter). Dette får root-lignende rettigheder over enheden, hvilket betyder, at den kan gøre alt, hvad den vil, og du har intet at sige om det.
Hvorfor går vi ind i dette? Nå, for et stykke tid siden havde jeg nogle samtaler frem og tilbage med TrevE om alle de HTC's PoC'er, som han har været arbejde på, og han begyndte at spekulere på CIQ, da det ifølge ham var noget af det værste, han havde fundet i HTC's kode. Så han besluttede at begynde at grave lidt i dette og fandt ud af, at der er meget mere at sige om denne software, end selv producenter tør sige. Det viser sig, at CIQ ikke ligefrem er, hvad mange mennesker ikke ser (da det er skjult), men det er snarere et meget nyttigt værktøj for system- og netværksadministratorer. Værktøjerne bruges til at give feedback og relevante data om flere metrics, der kan hjælpe en af de førnævnte administratorer med at fejlfinde og forbedre system- og netværksydelse. Point og case, appen ser ud til at køre på en sådan måde, at den giver brugeren mulighed for at give de nødvendige input via undersøgelser og andre ting. For at sætte tingene på en mere visuel måde, det er hvad CIQ
bør lignerOg her er, hvordan CIQ faktisk ser ud både i henholdsvis Samsung- og HTC-enheder
Kan du se forskellen? Åh, og hvis du undrer dig, er det første billede fra en "jomfru" kopi af CIQ. Vores elskede udvikler fandt en uberørt kopi af dette sammen med et væld af information, inklusive træningsvideoer, guider og en hel masse materiale, der i det væsentlige vil få dit hår til at rejse sig. Der er langt mere end blot kosmetiske ændringer i versionerne ovenfor. Menuerne og undersøgelserne er fuldstændig fjernet i HTC-versionen og delvist i Samsung-versionen, hvilket gør det umuligt at forstå, medmindre du virkelig ved, hvad du ser på. For eksempel er den såkaldte mulighed for at fravælge dette heller ikke til stede i HTC-enheder, og det er meget vanskeligt at slukke i Samsung-enheder. Oven i det kan du se nogle hændelser eller triggere, der grundlæggende vil tillade denne app at indsamle data (tak XDA Recognized Developer k0nane til dit arbejde på Samsung-enheder)
Kendte udløsere fundet på HTC-telefoner:
Indtast HTCDialer trykket eller tastaturtaster trykket:Hensigt – com.htc.android.iqagent.action.ui01
App åbnet – Hensigt – com.htc.android.iqagent.handling.ui15Sms modtaget – Hensigt – com.htc.android.iqagent.action.smsnotifySkærm slukket/tændt – Hensigt – com.htc.android.iqagent.action.ui02Opkald modtaget – Hensigt – com.htc.android.iqagent.handling.ui15Mediestatistik – Hensigt – com.htc.android.iqagent.action.mp03Stedsstatistik – Hensigt – com.htc.android.iqagent.action.lc30
Kendte Samsung-triggere leveret af XDA medlem k0nane :UI01: skærm tappet på et hvilket som helst sted, eller InputMethod (ethvert blødt tastatur) tasten trykket.
NT10: HTTP-anmodning læst.
NT0F: HTTP-anmodning sendes.
UI11: ukendt, placeret i View-klassen, som har sin egen IQClientThreadRunnable-underklasse.
AL34: indlæsning startet i en browserramme – URL.
AL35: indlæsning startede i en browserramme – datamodtagelse begynder og slutter, sidegengivelse begynder og slutter.
AL36: datalængde.(Ovenstående to findes også i LoadListener- og WebViewCore-klasserne. Web-metrics findes ikke på Skyrocket, men er på Epic 4G og Epic 4G Touch.)
HW03: batteristatus ændret. (Ikke fundet på Skyrocket.)
Ønsker mere? Den slags "metrics" eller data, som denne app kan indsamle. I den originale version af appen er appen indstillet til at indsamle ting som netværksstatus, udstyrs-id og producent og meget mere. Alle disse data bliver derefter skubbet til en "portal", hvor administratoren kan se, filtrere, rumme og praktisk talt arrangere alle de metrics, der rapporteres af appen på enhver måde, han/hun finder passende. Hvad mere er, ifølge nogle af træningsdokumenterne kan CIQ stort set betragte alt som en metrisk og registrere det. For eksempel (godt eksempel af TrevE), lad os sige, at en netværksadministrator optager data for folk med mistede opkald i Californien kl. 17.00. På grund af alle de målinger, der kunne opnås via de forskellige triggere, vil den samme netværksadministrator ikke bare vide, at du fik et afbrudt opkald kl. i Californien, men han/hun vil også vide, hvor i Californien du befandt dig, hvad du lavede med din telefon på det givne tidspunkt, hvor mange gange du fik adgang til dine apps indtil det tidspunkt, og endda hvad du har indtastet på din enhed (nej, denne sidste er ikke en overdrivelse, denne ting kan fungere som en nøglelogger såvel). Allerede bange? Hvis ikke, er her et uddrag af nogle af de metrics, som denne ting kan indsamle
Da vi allerede har præsenteret nok fakta, lad os dykke direkte ind i kernen af problemet. Vi har overhovedet ingen stemme i dette spørgsmål. Der er ikke meget, vi kan gøre ved, at disse data bliver indsamlet, uden at vi rooter enheden og bryder garantierne på dem (ikke at vi normalt bekymrer os om at gøre dette alligevel). Men problemet er, at alle disse data, al denne information om dig, hvordan du bruger din enhed, dine daglige aktiviteter, alt hvad du gør med din enhed bliver logget og solgt. For ikke så længe siden kom Verizon frem (sandsynligvis da de så dette komme) og besluttede at give sine kunder mulighed for at fravælge denne aktivitet. Grundlæggende forhindrer Big Red i at sælge dine data (men ikke i at indsamle dem). Sprint er på den anden side gået så langt som at benægte dens eksistens på et tidspunkt. Nu ved vi, at det hele er en del af den kontrakt, du går ind i, når du køber en telefon fra dem, ikke? Forkert! Ifølge Sprint, selvom du skulle købe en enhed direkte fra eBay og ikke har nogen service på Sprint (brug den som en Wifi-medieafspiller om du vil), kan Sprint stadig indsamle disse data fra dig. Du er bundet og lænket med dem, selvom du aldrig havde planlagt at gøre dette.
Et andet punkt er lovligheden af de problemer, der rejses med den slags information, de indsamler. Nogle data kan være meningsfulde for netværkets ydeevne og endda til reklameformål, men at overvåge alt ned til det, du skriver, er lidt for meget efter denne forfatters mening. Jeg mener, hvad er det for et tilladt formål derude, der kan tillade en virksomhed lovligt at placere en nøglelogger på noget og bruge den, når du ikke engang får service ud af dem? Dette er langt ud over, på dette tidspunkt, det faktum, at dataene potentielt kan tilgås, opsnappes eller endda smuthuller er til stede i koden. Dette er et spørgsmål om vores ret til privatliv som forbrugere.
At beskytte dig selv mod uretfærdig praksis vil sandsynligvis blive ilde set, hvis du skulle ringe til Sprint lige nu og bede dem om en vej ud. TrevE giver dog mulighed for manuelt at fjerne disse ting fra nogle HTC-enheder, mens k0nane giver et komplet værktøjssæt til fjernelse af flere Samsung-enheder. Alternativt er der tilpassede roms derude, som har CIQ og andre "tjenester" fjernet. Prøv dem, hvis du ikke er for tryg ved manuelt at redigere ting på din enhed.
Dette er en klar krænkelse af forbrugernes rettigheder helt ind til sin kerne. Ikke at kunne fravælge er direkte latterligt, og vi vil gerne anmode om, at dette bliver rettet i kommende enheder og softwareopdateringer. Husk, at vi måske ikke er langt størstedelen af dine brugere/kunder, men desværre for dig er vores fællesskaber dem, der kan gøre din salgsindsats til et levende mareridt. Forbrugerne er de ultimative nøgleholdere, og vi foreslår, at du holder op med at se på os som dollartegn og mere som mennesker og kunder. Alt i alt er jeg det ikke til salg og mit privatliv er uvurderlig.
Du kan finde mere information i original blogartikel af TrevE.
Vil du have noget offentliggjort i portalen? Kontakt enhver nyhedsforfatter.
Tak TrevE for alt dit hårde arbejde. Du rocker, mand!!!