ערכת השורש של כל הרוע

Xda אנדרואידNov 11, 2023
click fraud protection

וסאגת הריגול והפלישה לפרטיות נמשכת, אבל הפעם XDA Recognized Developer TrevE נראה שפגע בלב ליבה של רוב מה שקורה במכשירים. אתה אולי זוכר מכמה מאמרים אחורה שהתחלנו לדבר על משהו שנקרא CIQ או Carrier iQ. זוהי, בעצם, תוכנה שמוטמעת ברוב המכשירים הניידים, לא רק אנדרואיד אלא נוקיה, בלקברי, וכנראה רבים נוספים. לפי TrevE, התוכנה מותקנת כתוכנת rootkit ב-RAM של המכשירים שבהם היא שוכנת. התוכנה הזו בעצם נסתרת לחלוטין מהעין ובתוכה כמעט בלתי נראית, והגרוע מכל הכל, די מסובך להרוג (מכשירים מסוימים יותר מאחרים ותראה מדוע בעוד כמה דקות). זה מקבל זכויות שורש כמו על המכשיר, מה שאומר שהוא יכול לעשות כל מה שבא לו ולא יהיה לך מה להגיד על זה.

למה אנחנו נכנסים לזה? ובכן, לפני זמן מה ניהלתי כמה שיחות הלוך ושוב עם TrevE לגבי כל ה-PoCs של HTC שהוא היה עובד עליו, והוא התחיל לתהות לגבי CIQ, שכן לדבריו, היה אחד הדברים הגרועים ביותר שהוא מצא ב-HTC. קוד. אז, הוא החליט להתחיל לחפור בזה קצת וגילה שיש הרבה יותר מה לומר על התוכנה הזו ממה שאפילו יצרנים יעזו לומר. מסתבר ש-CIQ הוא לא בדיוק מה שאנשים רבים לא רואים (כיוון שהוא נסתר), אלא הוא כלי מאוד שימושי למנהלי מערכות ורשתות. הכלים משמשים כדי לספק משוב ונתונים רלוונטיים על מספר מדדים שיכולים לעזור לאחד מהמנהלים הנ"ל לפתור בעיות ולשפר את ביצועי המערכת והרשת. נקודה ומקרה, נראה שהאפליקציה פועלת בצורה כזו שהיא מאפשרת למשתמש לספק את הקלט הדרוש באמצעות סקרים ודברים אחרים. אם לנסח דברים בצורה ויזואלית יותר, זה מה ש-CIQ

צריך נראה כמו

והנה איך בעצם נראה CIQ גם במכשירי סמסונג וגם ב-HTC בהתאמה

תראה את ההבדל? אה, ולמקרה שאתם תוהים, התמונה הראשונה היא מעותק "בתולי" של CIQ. המפתח האהוב שלנו מצא עותק בתולי של זה יחד עם המון מידע, כולל סרטוני הדרכה, מדריכים וחבורה שלמה של חומר שבעצם יגרום לשיער שלך להזדקף. יש הרבה יותר מסתם שינויים קוסמטיים בגרסאות שלמעלה. התפריטים והסקרים מופשטים לחלוטין בגרסת HTC ובחלקם בגרסה של סמסונג, מה שהופך את זה לבלתי אפשרי להבין אלא אם כן אתה באמת יודע על מה אתה מסתכל. לדוגמה, האפשרות שנקראת לבטל את הסכמתה לכך אינה קיימת כלל גם במכשירי HTC וקשה מאוד לכבות אותה במכשירי סמסונג. נוסף על כך, אתה יכול לראות כמה אירועים או טריגרים שיאפשרו בעצם לאפליקציה הזו לאסוף נתונים (תודה למפתח מוכר של XDA ק0נאן לעבודה שלך במכשירי סמסונג)

טריגרים ידועים שנמצאו בטלפונים של HTC:

מקש HTCDialer בלחיצה או מקשי מקלדת לחוץ:כוונה – com.htc.android.iqagent.action.ui01

האפליקציה נפתחה - כוונה – com.htc.android.iqagent.action.ui15התקבל SMS - כוונה – com.htc.android.iqagent.action.smsnotifyמסך כבוי/הדלקה – כוונה – com.htc.android.iqagent.action.ui02שיחה התקבלה - כוונה – com.htc.android.iqagent.action.ui15סטטיסטיקת מדיה – כוונה – com.htc.android.iqagent.action.mp03סטטיסטיקת מיקום - כוונה – com.htc.android.iqagent.action.lc30

טריגרים ידועים של סמסונג המסופק על ידי חבר XDA k0nane :

UI01: הקשה על המסך בכל מיקום או מקש InputMethod (כל מקלדת רכה).

NT10: קריאת בקשת HTTP.

NT0F: שליחת בקשת HTTP.

UI11: לא ידוע, ממוקם במחלקה View, שיש לה תת-מחלקה IQClientThreadRunnable משלה.

AL34: הטעינה החלה במסגרת דפדפן - כתובת URL.

AL35: טעינה החלה במסגרת דפדפן - התחלה וסיום של קבלת נתונים, תחילת עיבוד עמודים וסיומו.

AL36: אורך נתונים.(השניים לעיל נמצאים גם במחלקות LoadListener ו- WebViewCore. מדדי אינטרנט אינם נמצאים ב-Skyrocket, אלא נמצאים ב-Epic 4G ו-Epic 4G Touch.)

HW03: מצב הסוללה השתנה. (גם לא נמצא ב-Skyrocket.)

רוצה יותר? סוג ה"מדדים" או הנתונים שהאפליקציה הזו יכולה לאסוף. בגרסה המקורית של האפליקציה, האפליקציה מוגדרת לאסוף דברים כמו מצב רשת, מזהה ציוד ויצרן ועוד ועוד. כל הנתונים האלה נדחפים ל"פורטל" בו מנהל המערכת יכול לראות, לסנן, להכיל ולסדר למעשה את כל המדדים המדווחים על ידי האפליקציה בכל דרך שהוא/היא ימצא לנכון. יתרה מכך, לפי חלק ממסמכי ההדרכה, CIQ יכולה להתייחס כמעט לכל דבר כמדד, ולתעד אותו. לדוגמה (דוגמה מצוינת של TrevE), נניח שמנהל רשת מקליט נתונים עבור אנשים עם שיחות שנפלו בקליפורניה בשעה 17:00. בגלל כל המדדים שניתן היה להשיג באמצעות הטריגרים השונים, אותו מנהל רשת לא רק יידע שקיבלת שיחת טלפון ב-17:00 בקליפורניה, אבל הוא/היא גם יידעו היכן בקליפורניה היית, מה עשית עם הטלפון שלך באותו זמן נתון, כמה פעמים אתה ניגשת לאפליקציות שלך עד לאותו זמן, ואפילו למה שהקלדת במכשיר שלך (לא, זה האחרון הוא לא הגזמה, הדבר הזה יכול לשמש כחותך מפתחות גם כן). מפחדת כבר? אם לא, הנה קטע מכמה מהמדדים שהדבר הזה יכול לאסוף

מכיוון שכבר הצגנו מספיק עובדות, הבה נצלול היישר אל ליבת הנושא. אין לנו בכלל קול בנושא הזה. יש מעט מה שאנחנו יכולים לעשות לגבי הנתונים האלה שנאספים מבלי שנשרש את המכשיר ונשבור את האחריות עליהם (לא שבדרך כלל אכפת לנו לעשות את זה בכל מקרה). אבל הבעיה היא שכל הנתונים האלה, כל המידע הזה עליך, איך אתה משתמש במכשיר שלך, הפעילויות היומיומיות שלך, כל מה שאתה עושה עם המכשיר שלך נרשם ונמכר. לא מזמן, Verizon יצאה (כנראה כפי שהם ראו את זה מגיע) והחליטה לספק ללקוחותיה את האפשרות לבטל את הפעילות הזו. בעיקרון, מניעת Big Red למכור את הנתונים שלך (אך לא לאסוף אותם). ספרינט, לעומת זאת, הרחיק לכת והכחיש את קיומו בשלב מסוים. עכשיו, אנחנו יודעים שזה הכל חלק מהחוזה שאתה נכנס אליו כשאתה קונה מהם טלפון, נכון? לא בסדר! לפי ספרינט, גם אם הייתם קונים מכשיר ישירות מ-eBay ואין לכם שירות בספרינט (השתמשו בו כנגן מדיה Wifi אם תרצו), ספרינט עדיין יכולה לאסוף מכם את הנתונים האלה. אתה כבול וכבול איתם, גם אם מעולם לא תכננת לעשות זאת.

נקודה נוספת היא החוקיות של הנושאים המועלים עם סוג המידע שהם אוספים. נתונים מסוימים יכולים להיות משמעותיים לביצועי הרשת ואפילו למטרות פרסום, אבל לנטר הכל עד מה שאתה מקליד, זה קצת יותר מדי לדעתו של הכותב הזה. כלומר, איזו מטרה מותרת יש בחוץ שיכולה לאפשר לחברה להציב לוגר מפתח על משהו באופן חוקי ולהשתמש בו כאשר אתה אפילו לא מקבל מהם שירות? זה הרבה מעבר, בשלב זה, לעובדה שניתן לגשת לנתונים, ליירט אותם, או אפילו לחורים ללולאות בקוד. זה עניין של הזכויות שלנו לפרטיות כצרכנים.

סביר להניח שהגנה על עצמך מפני שיטות לא הוגנות תהיה מזוהה אם היית מתקשר לספרינט עכשיו ומבקש מהם מוצא. עם זאת, TrevE מספקת דרך להסיר ידנית את החומר הזה ממכשירי HTC מסוימים בעוד k0nane מספקת ערכת כלים מלאה להסרה עבור מספר מכשירי סמסונג. לחלופין, ישנם רומים מותאמים אישית שבהם הוסרו את ה-CIQ ו"שירותים" אחרים. אנא נסה אותם אם אינך נוח מדי עם עריכה ידנית של דברים במכשיר שלך.

זוהי הפרה ברורה של זכויות הצרכן עד הליבה שלה. אי היכולת לבטל את הסכמתך היא מגוחכת לחלוטין ואנו רוצים לבקש שזה יתוקן במכשירים ובעדכוני תוכנה עתידיים. זכור, אולי אנחנו לא הרוב המכריע של המשתמשים/לקוחות שלך, אבל למרבה הצער עבורך, הקהילות שלנו הן אלו שיכולות להפוך את מאמצי המכירה שלך לסיוט חי. הצרכנים הם מחזיקי המפתחות האולטימטיביים ואנו מציעים שתפסיקו להסתכל עלינו כעל סימני דולר ועוד כמו אנשים ולקוחות. בסך הכל אני כן לֹא למכירה והפרטיות שלי הוא לֹא יְסוּלֵא בְּפָּז.

תוכל למצוא מידע נוסף ב- מאמר מקורי בבלוג מאת TrevE.

רוצים שמשהו יפורסם בפורטל? צור קשר עם כל כותב חדשות.

תודה TrevE על כל העבודה הקשה שלך. אתה מתנדנד, בנאדם!!!