Og sagaen om spion og invasjon av personvern fortsetter, men denne gangen er XDA Recognized Developer TrevE ser ut til å ha truffet selve kjernen i det meste som skjer med enheter. Du husker kanskje fra noen artikler tilbake at vi begynte å snakke om noe som heter CIQ eller Carrier iQ. Dette er i hovedsak et stykke programvare som er innebygd i de fleste mobile enheter, ikke bare Android, men Nokia, Blackberry og sannsynligvis mange flere. Ifølge TrevE er programvaren installert som en rootkit-programvare i RAM-en til enhetene der den ligger. Denne programvaren er i utgangspunktet helt skjult og praktisk talt usynlig i den, og det verste av det alt, ganske komplisert å drepe (noen enheter mer enn andre, og du vil se hvorfor i noen få minutter). Dette er gitt root-lignende rettigheter over enheten, noe som betyr at den kan gjøre alt den vil, og du vil ikke ha noe å si om det.
Hvorfor går vi inn i dette? Vel, for en stund tilbake hadde jeg noen samtaler frem og tilbake med TrevE angående alle HTCs PoC-er som han har vært jobbet med, og han begynte å lure på CIQ, siden han ifølge ham var noe av det verste han hadde funnet i HTCs kode. Så han bestemte seg for å begynne å grave litt i dette og fant ut at det er mye mer å si om denne programvaren enn til og med produsenter vil våge å si. Det viser seg at CIQ ikke akkurat er det mange ikke ser (da det er skjult), men det er snarere et veldig nyttig verktøy for system- og nettverksadministratorer. Verktøyene brukes til å gi tilbakemelding og relevante data om flere beregninger som kan hjelpe en av de nevnte administratorene med å feilsøke og forbedre system- og nettverksytelsen. Punkt og sak, appen ser ut til å kjøre på en slik måte at den lar brukeren gi de innspillene som trengs via undersøkelser og andre ting. For å sette ting på en mer visuell måte, er dette hva CIQ
bør ser ut somOg her er hvordan CIQ faktisk ser ut både i henholdsvis Samsung- og HTC-enheter
Se forskjellen? Åh, og i tilfelle du lurer, det første bildet er fra en "jomfru" kopi av CIQ. Vår elskede utvikler fant en uberørt kopi av dette sammen med massevis av informasjon, inkludert treningsvideoer, guider og en hel haug med materiale som i hovedsak vil få håret ditt til å reise seg. Det er langt mer enn bare kosmetiske endringer i versjonene ovenfor. Menyene og undersøkelsene er fullstendig fjernet i HTC-versjonen og delvis i Samsung-versjonen, noe som gjør det umulig å forstå med mindre du virkelig vet hva du ser på. For eksempel er det såkalte alternativet for å velge bort dette heller ikke til stede i HTC-enheter, og det er svært vanskelig å slå av i Samsung-enheter. På toppen av det kan du se noen hendelser eller utløsere som i utgangspunktet vil tillate denne appen å samle inn data (takk XDA Recognized Developer k0nane for arbeidet ditt på Samsung-enheter)
Kjente triggere funnet på HTC-telefoner:
Tast inn HTCDialer trykket eller tastaturtaster trykket:Hensikt – com.htc.android.iqagent.action.ui01
App åpnet – Hensikt – com.htc.android.iqagent.action.ui15Sms mottatt – Hensikt – com.htc.android.iqagent.action.smsnotifySkjerm av/på – Hensikt – com.htc.android.iqagent.action.ui02Anrop mottatt – Hensikt – com.htc.android.iqagent.action.ui15Mediestatistikk – Hensikt – com.htc.android.iqagent.action.mp03Stedsstatistikk – Hensikt – com.htc.android.iqagent.action.lc30
Kjente Samsung-utløsere levert av XDA-medlem k0nane :UI01: skjerm trykket på et hvilket som helst sted, eller InputMethod-tasten (hvilket som helst mykt tastatur) trykket.
NT10: HTTP-forespørsel lest.
NT0F: HTTP-forespørsel sendes.
UI11: ukjent, plassert i View-klassen, som har sin egen IQClientThreadRunnable-underklasse.
AL34: lasting startet i en nettleserramme – URL.
AL35: lasting startet i en nettleserramme – datamottak begynner og slutter, sidegjengivelse begynner og slutter.
AL36: datalengde.(De to ovenfor finnes også i LoadListener- og WebViewCore-klasser. Nettmålinger finnes ikke på Skyrocket, men på Epic 4G og Epic 4G Touch.)
HW03: batteristatus endret. (Finnes heller ikke på Skyrocket.)
Ønsker mer? Den typen «beregninger» eller data som denne appen kan samle inn. I den originale versjonen av appen er appen satt til å samle ting som nettverksstatus, utstyrs-ID og produsent, og mye mer. Alle disse dataene blir deretter skjøvet til en "portal" der administratoren kan se, filtrere, imøtekomme og praktisk talt ordne alle beregningene som rapporteres av appen på en hvilken som helst måte han/hun finner passende. Dessuten kan CIQ i følge noen av opplæringsdokumentene praktisk talt vurdere hva som helst som en beregning og registrere det. For eksempel (flott eksempel av TrevE), la oss si at en nettverksadministrator registrerer data for personer med tapte anrop i California klokken 17.00. På grunn av alle beregningene som kan oppnås via de forskjellige triggerne, vil ikke den samme nettverksadministratoren bare vite at du ble avbrutt klokken 17.00 i California, men han/hun vil også vite hvor i California du befant deg, hva du gjorde med telefonen på det gitte tidspunktet, hvor mange ganger du tilgang til appene dine frem til det tidspunktet, og til og med det du har skrevet inn på enheten din (nei, denne siste er ikke en overdrivelse, denne tingen kan fungere som en nøkkellogger også). Redd allerede? Hvis ikke, her er et utdrag av noen av beregningene som denne tingen kan samle
Siden vi allerede har presentert nok fakta, la oss dykke rett inn i sakens kjerne. Vi har ingen stemme i det hele tatt i denne saken. Det er lite vi kan gjøre med at disse dataene samles inn uten at vi roter enheten og bryter garantiene på dem (ikke at vi vanligvis bryr oss om å gjøre dette uansett). Men problemet er at alle disse dataene, all denne informasjonen om deg, hvordan du bruker enheten din, dine daglige aktiviteter, alt du gjør med enheten din blir logget og solgt. For ikke så lenge siden kom Verizon frem (sannsynligvis ettersom de så dette komme) og bestemte seg for å gi kundene muligheten til å velge bort denne aktiviteten. I utgangspunktet forhindrer Big Red fra å selge dataene dine (men ikke fra å samle dem). Sprint har derimot gått så langt som å benekte dens eksistens på et tidspunkt. Nå vet vi at alt dette er en del av kontrakten du går inn i når du kjøper en telefon fra dem, ikke sant? Feil! I følge Sprint, selv om du skulle kjøpe en enhet rett fra eBay og ikke har noen tjeneste på Sprint (bruk den som en Wifi-mediespiller om du vil), kan Sprint fortsatt samle inn disse dataene fra deg. Du er bundet og lenket med dem, selv om du aldri har planlagt å gjøre dette.
Et annet poeng er lovligheten av problemene som tas opp med den type informasjon de samler inn. Noen data kan være meningsfulle for nettverksytelse og til og med for reklameformål, men å overvåke alt ned til det du skriver, er litt for mye etter denne forfatterens mening. Jeg mener, hva slags tillatt formål er der ute som kan tillate et selskap å lovlig plassere en nøkkellogger på noe og bruke den når du ikke en gang får service ut av dem? Dette er langt utover, på dette tidspunktet, det faktum at dataene potensielt kan få tilgang, fanges opp eller til og med hull i koden. Dette er et spørsmål om våre rettigheter til personvern som forbrukere.
Å beskytte deg selv mot urettferdig praksis vil sannsynligvis bli misfornøyd hvis du skulle ringe Sprint akkurat nå og be dem om en utvei. TrevE gir imidlertid en måte å manuelt fjerne disse tingene fra noen HTC-enheter, mens k0nane gir et komplett verktøysett for fjerning for flere Samsung-enheter. Alternativt er det tilpassede rom der ute som har CIQ og andre "tjenester" fjernet. Prøv disse hvis du ikke er så komfortabel med å redigere ting manuelt på enheten din.
Dette er et klart brudd på forbrukerrettighetene helt ned til kjernen. Å ikke kunne velge bort er direkte latterlig, og vi vil gjerne be om at dette blir fikset i kommende enheter og programvareoppdateringer. Husk at vi kanskje ikke er det store flertallet av brukerne/kundene dine, men dessverre for deg er lokalsamfunnene våre de som kan gjøre salgsinnsatsen din til et mareritt. Forbrukerne er de ultimate nøkkelinnehaverne, og vi foreslår at du slutter å se på oss som dollartegn og mer som mennesker og kunder. Alt i alt er jeg det ikke til salgs og mitt privatliv er uvurderlig.
Du finner mer informasjon i original bloggartikkel av TrevE.
Vil du ha noe publisert i portalen? Kontakt hvilken som helst nyhetsskribent.
Takk TrevE for alt ditt harde arbeid. Du rocker, mann!!!