Saga o szpiegostwie i inwazji na prywatność trwa nadal, ale tym razem jako uznany programista XDA TrevE wydaje się, że trafił w samo sedno większości tego, co dzieje się z urządzeniami. Być może pamiętacie z kilku artykułów wstecz, że zaczęliśmy rozmawiać o czymś, co nazywa się CIQ lub Carrier iQ. Zasadniczo jest to oprogramowanie wbudowane w większość urządzeń mobilnych, nie tylko z Androidem, ale także w Nokii, Blackberry i prawdopodobnie w wielu innych. Według TrevE oprogramowanie jest instalowane jako oprogramowanie typu rootkit w pamięci RAM urządzeń, na których się znajduje. To oprogramowanie jest w zasadzie całkowicie ukryte i praktycznie niewidoczne, a co najgorsze wszystko, raczej skomplikowane do zabicia (niektóre urządzenia bardziej niż inne, a zobaczysz dlaczego za kilka minuty). Otrzymuje uprawnienia roota do urządzenia, co oznacza, że może robić wszystko, co mu się podoba, a ty nie będziesz miał nic do powiedzenia na ten temat.
Dlaczego w to wchodzimy? Cóż, jakiś czas temu prowadziłem kilka rozmów z TrevE na temat wszystkich PoC HTC, z którymi współpracował pracował i zaczął się zastanawiać nad CIQ, gdyż według niego była to jedna z najgorszych rzeczy, jakie znalazł w HTC kod. Postanowił więc trochę zgłębić ten temat i odkrył, że na temat tego oprogramowania można powiedzieć o wiele więcej, niż nawet producenci odważą się powiedzieć. Okazuje się, że CIQ nie jest dokładnie tym, czego wiele osób nie widzi (ponieważ jest ukryty), ale jest raczej bardzo przydatnym narzędziem dla administratorów systemów i sieci. Narzędzia te służą do przekazywania opinii i odpowiednich danych na temat kilku wskaźników, które mogą pomóc jednemu z wyżej wymienionych administratorów w rozwiązywaniu problemów i ulepszaniu wydajności systemu i sieci. Krótko mówiąc, aplikacja wydaje się działać w taki sposób, że pozwala użytkownikowi na dostarczenie potrzebnych informacji za pośrednictwem ankiet i innych rzeczy. Aby ująć to w bardziej wizualny sposób, oto CIQ
A oto jak CIQ faktycznie wygląda odpowiednio w urządzeniach Samsunga i HTC
Zobacz różnicę? Aha, i jeśli się zastanawiasz, pierwszy obraz pochodzi z „dziewiczej” kopii CIQ. Nasz ukochany twórca znalazł nieskazitelną kopię tego wraz z mnóstwem informacji, w tym filmami szkoleniowymi, przewodnikami i całą masą materiałów, dzięki którym Twoje włosy staną prosto. W powyższych wersjach jest znacznie więcej niż tylko kosmetyczne zmiany. Menu i ankiety są całkowicie usunięte w wersji HTC i częściowo w wersji Samsunga, co uniemożliwia zrozumienie, jeśli naprawdę nie wiesz, na co patrzysz. Przykładowo w urządzeniach HTC w ogóle nie ma tzw. opcji rezygnacji, a w urządzeniach Samsunga bardzo trudno ją wyłączyć. Oprócz tego możesz zobaczyć pewne zdarzenia lub wyzwalacze, które zasadniczo pozwolą tej aplikacji na zbieranie danych (dzięki XDA Recognized Developer wiem do pracy na urządzeniach Samsung)
Znane wyzwalacze znalezione w telefonach HTC:
Wciśnij klawisz HTCDialer lub wciśnij klawisze klawiatury:Intencja – com.htc.android.iqagent.action.ui01
Aplikacja otwarta – Intencja – com.htc.android.iqagent.akcja.ui15Otrzymano SMS-a – Intencja – com.htc.android.iqagent.akcja.smsnotifyWyłączenie/włączenie ekranu – Intencja – com.htc.android.iqagent.akcja.ui02Połączenie odebrane – Intencja – com.htc.android.iqagent.akcja.ui15Statystyki mediów – Intencja – com.htc.android.iqagent.akcja.mp03Statystyki lokalizacji – Intencja – com.htc.android.iqagent.akcja.lc30
Znane wyzwalacze Samsunga dostarczone przez Członek XDA k0nane :UI01: dotknięcie ekranu w dowolnym miejscu lub naciśnięcie klawisza metody wprowadzania (dowolnej klawiatury programowej).
NT10: Odczytano żądanie HTTP.
NT0F: wysłanie żądania HTTP.
UI11: nieznany, zlokalizowany w klasie View, która posiada własną podklasę IQClientThreadRunnable.
AL34: rozpoczęło się ładowanie w ramce przeglądarki – URL.
AL35: ładowanie rozpoczęło się w ramce przeglądarki – początek i koniec odbioru danych, początek i koniec renderowania strony.
AL36: długość danych.(Powyższe dwa można znaleźć także w klasach LoadListener i WebViewCore. Dane internetowe nie są dostępne w Skyrocket, ale są dostępne w Epic 4G i Epic 4G Touch.)
HW03: zmieniono stan baterii. (Nie można go również znaleźć w Skyrocket.)
Chcieć więcej? Rodzaj „danych” lub danych, które może gromadzić ta aplikacja. W oryginalnej wersji aplikacji skonfigurowano zbieranie takich danych, jak stan sieci, identyfikator i producent sprzętu oraz wiele innych. Wszystkie te dane są następnie przesyłane do „portalu”, w którym administrator może przeglądać, filtrować, dostosowywać i wirtualnie porządkować wszystkie dane raportowane przez aplikację w dowolny sposób, jaki uzna za stosowny. Co więcej, według niektórych dokumentów szkoleniowych, CIQ może praktycznie wszystko uznać za metrykę i zarejestrować. Na przykład (świetny przykład TrevE) załóżmy, że administrator sieci rejestruje dane osób, które zerwały połączenia w Kalifornii o 17:00. Ze względu na wszystkie wskaźniki, które można uzyskać za pomocą różnych wyzwalaczy, ten sam administrator sieci nie tylko będzie wiedział, że odebrałeś połączenie o 17:00 w Kalifornii, ale będzie też wiedział, gdzie w Kalifornii się znajdowałeś, co robiłeś w tym czasie z telefonem, ile razy uzyskałeś dostęp do aplikacji do tego czasu, a nawet to, co wpisałeś na swoim urządzeniu (nie, to ostatnie nie jest przesadą, to coś może działać jako rejestrator kluczy również). Już się boisz? Jeśli nie, oto fragment niektórych wskaźników, które to narzędzie może gromadzić
Skoro przedstawiliśmy już wystarczająco dużo faktów, przejdźmy od razu do sedna problemu. W tej kwestii nie mamy w ogóle głosu. Niewiele możemy zrobić w sprawie gromadzenia tych danych bez zrootowania urządzenia i zerwania gwarancji na nie (nie żebyśmy i tak zwykle się tym przejmowali). Problem polega jednak na tym, że wszystkie te dane, wszystkie informacje o Tobie, o tym, jak korzystasz z urządzenia, o Twoich codziennych czynnościach, o wszystkim, co robisz z urządzeniem, są rejestrowane i sprzedawane. Nie tak dawno temu pojawił się Verizon (prawdopodobnie gdy to przewidywał) i postanowił zapewnić swoim klientom opcję rezygnacji z tej działalności. Zasadniczo uniemożliwiając Big Red sprzedaż Twoich danych (ale nie ich gromadzenie). Z drugiej strony Sprint posunął się nawet do zaprzeczenia swojemu istnieniu. Wiemy, że to wszystko jest częścią umowy, którą podpisujesz, kupując od nich telefon, prawda? Zło! Według firmy Sprint, nawet jeśli kupisz urządzenie bezpośrednio w serwisie eBay i nie będziesz mieć żadnych usług w Sprint (jeśli chcesz, użyj go jako odtwarzacza multimedialnego Wi-Fi), Sprint może nadal zbierać od Ciebie te dane. Jesteście z nimi związani i skuci łańcuchami, nawet jeśli nigdy tego nie planowaliście.
Kolejną kwestią jest legalność podnoszonych kwestii w związku z rodzajem gromadzonych informacji. Niektóre dane mogą mieć znaczenie dla wydajności sieci, a nawet dla celów reklamowych, ale monitorowanie wszystkiego aż do tego, co wpiszesz, to zdaniem autora trochę za dużo. To znaczy, jaki rodzaj dopuszczalnego celu może pozwolić firmie na legalne umieszczenie na czymś rejestratora kluczy i używanie go, nawet jeśli nie uzyskuje się od niej usług? W tym momencie wykracza to daleko poza fakt, że można uzyskać dostęp do danych, przechwycić je lub nawet wykryć luki w kodzie. Jest to kwestia naszego prawa do prywatności jako konsumentów.
Ochrona przed nieuczciwymi praktykami prawdopodobnie zostanie źle przyjęta, jeśli zadzwonisz do firmy Sprint i poprosisz o rozwiązanie problemu. Jednak TrevE umożliwia ręczne usunięcie tych rzeczy z niektórych urządzeń HTC, podczas gdy k0nane zapewnia pełny zestaw narzędzi do usuwania dla kilku urządzeń Samsung. Alternatywnie istnieją niestandardowe ROMy, w których usunięto CIQ i inne „usługi”. Wypróbuj je, jeśli nie czujesz się zbyt komfortowo w ręcznym edytowaniu rzeczy na swoim urządzeniu.
Jest to oczywiste naruszenie praw konsumentów aż do samej istoty. Brak możliwości rezygnacji jest wręcz absurdalny i chcielibyśmy poprosić o naprawienie tego w nadchodzących aktualizacjach urządzeń i oprogramowania. Pamiętaj, że może nie stanowimy zdecydowanej większości Twoich użytkowników/klientów, ale niestety dla Ciebie to nasze społeczności mogą sprawić, że Twoje wysiłki sprzedażowe staną się koszmarem. Konsumenci są najważniejszymi posiadaczami kluczy i sugerujemy, abyście przestali patrzeć na nas jak na znaki dolara, a bardziej jak na ludzi i klientów. W sumie jestem nie na sprzedaż i moja prywatność Jest bezcenny.
Więcej informacji znajdziesz w oryginalny artykuł na blogu przez TrevE.
Chcesz coś opublikowanego w Portalu? Skontaktuj się z dowolnym autorem wiadomości.
Dzięki TrevE za całą twoją ciężką pracę. Bujasz się, człowieku!!!