A kém és az adatvédelmi saga folytatódik, de ezúttal az XDA elismert fejlesztője TrevE úgy tűnik, hogy eltalálta a legtöbb, ami az eszközökkel történik. Talán emlékszik néhány korábbi cikkből, hogy elkezdtünk beszélni valamiről, amit CIQ-nak vagy Carrier iQ-nak hívnak. Ez lényegében egy olyan szoftver, amely a legtöbb mobileszközbe be van ágyazva, nem csak az Androidba, hanem a Nokiába, a Blackberrybe és valószínűleg még sok másba is. A TrevE szerint a szoftver rootkit szoftverként van telepítve azon eszközök RAM-jába, ahol található. Ez a szoftver alapvetően teljesen el van rejtve a szem elől, és gyakorlatilag láthatatlan, és a legrosszabb mindegyiket meglehetősen bonyolult megölni (egyes eszközök jobban, mint mások, és néhányban meglátod, miért percek). Ez root-szerű jogokat kap az eszköz felett, ami azt jelenti, hogy mindent megtehet, amit csak akar, és nem lesz mit mondanod róla.
Miért megyünk ebbe bele? Nos, egy ideje beszélgettem TrevE-vel a HTC összes PoC-járól, amit ő használt. dolgozott, és elkezdett tűnődni a CIQ-n, mivel elmondása szerint ez volt az egyik legrosszabb dolog, amit a HTC-ben talált. kód. Így hát úgy döntött, elkezd egy kicsit ásni a témában, és rájött, hogy sokkal többet lehet erről a szoftverről elmondani, mint amennyit a gyártók ki mernek mondani. Kiderült, hogy a CIQ nem éppen az, amit sokan nem látnak (hiszen rejtve van), hanem egy nagyon hasznos eszköz a rendszer- és hálózati rendszergazdáknak. Az eszközök arra szolgálnak, hogy visszajelzéseket és releváns adatokat biztosítsanak számos mérőszámról, amelyek segíthetik az egyik fent említett rendszergazdát a hibaelhárításban és a rendszer és a hálózat teljesítményének javításában. Pontosan úgy tűnik, hogy az alkalmazás úgy fut, hogy lehetővé teszi a felhasználó számára, hogy felméréseken és egyéb dolgokon keresztül megadja a szükséges információkat. Hogy vizuálisabban fogalmazzuk meg a dolgokat, ez a CIQ
kellene hasonlóÉs így néz ki a CIQ valójában a Samsung és a HTC készülékeken
Lásd a különbséget? Ja, és ha kíváncsi vagy, az első kép a CIQ "szűz" másolatából származik. Szeretett fejlesztőnk talált ennek egy eredeti példányát, rengeteg információval, köztük oktatóvideókkal, útmutatókkal és egy csomó olyan anyaggal, amitől a hajad egyenesen feláll. A fenti verziókban sokkal több, mint pusztán kozmetikai változtatások vannak. A menük és a felmérések a HTC verzióban, a Samsungban pedig részben ki vannak húzva, így lehetetlen megérteni, ha nem igazán tudja, mit néz. Például a HTC készülékeknél egyáltalán nincs meg az ún. letiltási lehetőség, és a Samsung készülékeken nagyon nehéz kikapcsolni. Ezen felül láthat néhány eseményt vagy triggert, amelyek alapvetően lehetővé teszik az alkalmazás számára, hogy adatokat gyűjtsön (köszönet az XDA Recognized Developernek k0nane a Samsung készülékeken végzett munkájához)
Ismert triggerek a HTC telefonokon:
Gépelje be a HTCDialert vagy a billentyűzet gombjait:Intent – com.htc.android.iqagent.action.ui01
Alkalmazás megnyitva – Intent – com.htc.android.iqagent.akció.ui15SMS érkezett – Intent – com.htc.android.iqagent.action.smsnotifyKépernyő ki/be – Intent – com.htc.android.iqagent.akció.ui02Beérkezett hívás – Intent – com.htc.android.iqagent.akció.ui15Médiastatisztika – Intent – com.htc.android.iqagent.akció.mp03Helystatisztika – Intent – com.htc.android.iqagent.akció.lc30
Ismert Samsung triggerek által biztosított XDA tag k0nane :UI01: a képernyő megérintése bármely helyen, vagy az InputMethod (bármilyen szoftveres billentyűzet) gomb megnyomása.
NT10: HTTP kérés olvasása.
NT0F: HTTP kérés küldése.
UI11: ismeretlen, a View osztályban található, amelynek saját IQClientThreadRunnable alosztálya van.
AL34: a betöltés megkezdődött egy böngésző keretben – URL.
AL35: a betöltés megkezdődött egy böngésző keretben – az adatok fogadásának kezdete és vége, oldalmegjelenítés kezdete és vége.
AL36: adathossz.(A fenti kettő a LoadListener és a WebViewCore osztályokban is megtalálható. A webes mutatók nem találhatók a Skyrocketen, de az Epic 4G és az Epic 4G Touch esetében igen.)
HW03: az akkumulátor állapota megváltozott. (A Skyrocketen sem található.)
Többet akar? Azok a „mutatók” vagy adatok, amelyeket ez az alkalmazás gyűjthet. Az alkalmazás eredeti verziójában az alkalmazás úgy van beállítva, hogy összegyűjtse a hálózat állapotát, a berendezés azonosítóját és gyártóját, és még sok mást. Mindezek az adatok ezután egy „portálra” kerülnek, ahol az adminisztrátor láthatja, szűrheti, befogadhatja és gyakorlatilag elrendezheti az alkalmazás által jelentett összes mérőszámot, ahogyan jónak látja. Ráadásul egyes képzési dokumentumok szerint a CIQ gyakorlatilag bármit képes mérőszámnak tekinteni, és rögzíteni. Például (nagyszerű példa a TrevE-től) tegyük fel, hogy egy hálózati adminisztrátor adatokat rögzít azokról az emberekről, akiknek hívása megszakadt Kaliforniában délután 5 órakor. A különböző triggereken keresztül beszerezhető mérőszámok miatt ugyanaz a hálózati rendszergazda nem csak azt fogja tudni, hogy 17 órakor megszakadt hívása Kaliforniában, de azt is tudni fogja, hol volt Kaliforniában, mit csinált a telefonjával abban az időben, hányszor elérte az alkalmazásait addig az időpontig, és még azt is, amit az eszközén beírt (nem, ez utóbbi nem túlzás, ez a dolog kulcsnaplózóként működhet is). Már megijedt? Ha nem, akkor itt van egy részlet azokból a mérőszámokból, amelyeket ez a dolog összegyűjthet
Mivel már elég tényt bemutattunk, merüljünk el közvetlenül a kérdés lényegében. Egyáltalán nincs hangunk ebben a kérdésben. Keveset tehetünk az adatok gyűjtése érdekében anélkül, hogy rootolnánk az eszközt és megszegnénk a rájuk vonatkozó garanciát (nem mintha általában törődnénk ezzel). De a probléma az, hogy mindezt az adatot, az Önről szóló összes információt, az eszköz használatát, a mindennapi tevékenységeit és mindazt, amit az eszközzel csinál, naplózzák és értékesítik. Nem is olyan régen megjelent a Verizon (valószínűleg úgy, ahogyan ezt látták), és úgy döntött, hogy lehetőséget biztosít ügyfeleinek, hogy kilépjenek ebből a tevékenységből. Alapvetően megakadályozza, hogy a Big Red eladja az adatait (de nem gyűjtse azokat). A Sprint viszont egy ponton odáig jutott, hogy tagadta létezését. Most már tudjuk, hogy ez mind része a szerződésnek, amelybe bele kell kötni, amikor telefont veszel tőlük, igaz? Rossz! A Sprint szerint még akkor is, ha közvetlenül az eBay-ről vásárolna egy eszközt, és nincs szolgáltatása a Sprinten (ha akarja, használja Wifi médialejátszóként), a Sprint továbbra is gyűjtheti Öntől ezeket az adatokat. Megkötözve vagy hozzájuk láncolva, még akkor is, ha soha nem tervezted ezt.
Egy másik szempont az általuk gyűjtött információkkal felvetett kérdések jogszerűsége. Egyes adatok jelentősek lehetnek a hálózati teljesítmény szempontjából, sőt hirdetési célokra is, de ha mindent nyomon követünk egészen addig, amíg begépelünk, ez az író szerint túl sok. Úgy értem, milyen megengedhető cél lehet, amely lehetővé teszi egy cég számára, hogy legálisan helyezzen el egy kulcsnaplózót valamin, és használja azt, amikor még szolgáltatást sem kap? Ezen a ponton ez messze túlmutat azon a tényen, hogy az adatok potenciálisan elérhetők, elfoghatók, vagy akár huroklyukak is jelen vannak a kódban. Ez fogyasztóként a magánélethez való jogunk kérdése.
A tisztességtelen gyakorlatok elleni védekezés valószínűleg rosszindulatú lesz, ha most felhívná a Sprintet, és kiutat kérne tőlük. A TrevE azonban lehetőséget biztosít ezeknek a dolgoknak a manuális eltávolítására egyes HTC-eszközökről, míg a k0nane teljes eltávolítási eszközkészletet biztosít számos Samsung-eszközhöz. Alternatív megoldásként léteznek egyedi romok, amelyekből eltávolították a CIQ-t és más "szolgáltatásokat". Kérjük, próbálja ki ezeket, ha nem érzi túlságosan kényelmesen az eszközök kézi szerkesztését.
Ez a fogyasztói jogok alapvetően nyilvánvaló megsértése. Az, hogy nem lehet leiratkozni, kifejezetten nevetséges, és szeretnénk kérni, hogy ezt javítsák a közelgő eszközökben és szoftverfrissítésekben. Ne feledje, lehet, hogy nem mi vagyunk a felhasználók/ügyfelek túlnyomó többsége, de sajnos Ön számára a mi közösségeink azok, akik értékesítési erőfeszítéseit élő rémálommá tehetik. A fogyasztók a legfontosabb kulcstartók, és azt javasoljuk, hogy ne tekintsen minket dollárjeleknek, inkább embereknek és ügyfeleknek. Összességében az vagyok nem eladó és a magánéletem van megfizethetetlen.
További információt a eredeti blog cikk szerző: TrevE.
Szeretnél valamit közzétenni a Portálon? Vegye fel a kapcsolatot bármelyik híríróval.
Kösz TrevE minden kemény munkájáért. Te rock, haver!!!