Tüm Kötülüklerin Rootkit'i

Casusluk ve gizlilik istilası destanı devam ediyor, ancak bu kez XDA Tanınmış Geliştirici TrevE Cihazlarda olup bitenlerin çoğunun özüne ulaşmış gibi görünüyor. CIQ veya Carrier iQ adında bir şeyden bahsetmeye başladığımızı birkaç makaleden hatırlayabilirsiniz. Bu aslında yalnızca Android'e değil, Nokia, Blackberry ve muhtemelen daha pek çok mobil cihaza gömülü olan bir yazılım parçasıdır. TrevE'ye göre yazılım, bulunduğu cihazların RAM'lerine rootkit yazılımı olarak kuruluyor. Bu yazılım temelde tamamen gizlenmiştir ve içinde neredeyse görünmezdir ve en kötüsü hepsi, öldürülmesi oldukça karmaşık (bazı cihazlar diğerlerinden daha fazladır ve nedenini birkaç dakika içinde göreceksiniz) dakika). Buna cihaz üzerinde root benzeri haklar verilir, bu da cihazın istediği her şeyi yapabileceği ve sizin bu konuda söyleyecek hiçbir şeyinizin olmayacağı anlamına gelir.

Neden bu konuya giriyoruz? Bir süre önce TrevE ile HTC'nin sahip olduğu tüm PoC'ler hakkında ileri geri bazı konuşmalar yapıyordum. üzerinde çalışıyordu ve CIQ'yu merak etmeye başladı; ona göre bu, HTC'nin cihazında bulduğu en kötü şeylerden biriydi. kod. Bu yüzden konuyu biraz araştırmaya karar verdi ve bu yazılım hakkında üreticilerin bile söylemeye cesaret edemeyeceği kadar çok şey söylenebileceğini keşfetti. CIQ'nun tam olarak pek çok kişinin görmediği bir şey olmadığı (gizli olduğu için) fakat sistem ve ağ yöneticileri için oldukça kullanışlı bir araç olduğu ortaya çıktı. Araçlar, yukarıda adı geçen yöneticilerden birinin sistem ve ağ performansındaki sorunları gidermesine ve iyileştirmesine yardımcı olabilecek çeşitli ölçümlerle ilgili geri bildirim ve ilgili verileri sağlamak için kullanılır. Her durumda, uygulama, kullanıcının anketler ve diğer şeyler aracılığıyla ihtiyaç duyduğu girdiyi sağlamasına olanak tanıyacak şekilde çalışıyor gibi görünüyor. İşleri daha görsel bir şekilde ortaya koymak için CIQ'nun yaptığı budur.

meli gibi görünmek

Ve işte CIQ'nun sırasıyla hem Samsung hem de HTC cihazlarda gerçekte nasıl göründüğü:

Farkı gör? Ah, merak ediyorsanız ilk resim CIQ'nun "işlenmemiş" bir kopyasından. Sevgili geliştiricimiz bunun el değmemiş bir kopyasını, eğitim videoları, kılavuzlar ve saçlarınızı dik tutacak bir sürü malzeme dahil tonlarca bilgiyle birlikte buldu. Yukarıdaki versiyonlarda sadece kozmetik değişikliklerden çok daha fazlası var. Menüler ve anketler HTC sürümünde tamamen çıkarılmış ve Samsung sürümünde kısmen çıkarılmıştır; bu da neye baktığınızı gerçekten bilmediğiniz sürece anlamanızı imkansız hale getirir. Örneğin, bu seçeneğin dışında kalma seçeneği HTC cihazlarda da hiç mevcut değil ve Samsung cihazlarda kapatılması çok zor. Bunun da ötesinde, bu uygulamanın temel olarak veri toplamasına izin verecek bazı olayları veya tetikleyicileri görebilirsiniz (teşekkürler XDA Tanınan Geliştirici konane Samsung cihazlarındaki çalışmalarınız için)

HTC Telefonlarda bulunan bilinen tetikleyiciler:

HTCDialer'daki tuşa basıldı veya Klavye Tuşlarına basıldı:Niyet – com.htc.android.iqagent.action.ui01

Uygulama Açıldı – Niyet – com.htc.android.iqagent.eylem.ui15Alınan SMS – Niyet – com.htc.android.iqagent.action.smsnotifyEkran Kapalı/Açık – Niyet – com.htc.android.iqagent.action.ui02Çağrı Alındı ​​– Niyet – com.htc.android.iqagent.eylem.ui15Medya İstatistikleri – Niyet – com.htc.android.iqagent.eylem.mp03Konum İstatistikleri – Niyet – com.htc.android.iqagent.eylem.lc30

Bilinen Samsung tetikleyicileri tarafından sunulan XDA üyesi k0nane :

UI01: herhangi bir konuma dokunulan ekran veya GirişMetodu (herhangi bir yazılım klavyesi) tuşuna basıldı.

NT10: HTTP isteği okundu.

NT0F: HTTP isteği gönderimi.

UI11: bilinmiyor, kendi IQClientThreadRunnable alt sınıfına sahip View sınıfında bulunur.

AL34: yükleme tarayıcı çerçevesinde başladı – URL.

AL35: yükleme bir tarayıcı çerçevesinde başladı – veri alma başlangıcı ve bitişi, sayfa oluşturma başlangıcı ve bitişi.

AL36: veri uzunluğu.(Yukarıdaki ikisi LoadListener ve WebViewCore sınıflarında da bulunur. Web ölçümleri Skyrocket'te bulunmaz ancak Epic 4G ve Epic 4G Touch'ta bulunur.)

HW03: pil durumu değişti. (Ayrıca Skyrocket'ta da bulunamadı.)

Daha fazla istemek? Bu uygulamanın toplayabileceği "metrik" veya veri türü. Uygulamanın orijinal sürümünde uygulama, ağ durumu, ekipman kimliği ve üreticisi gibi bilgileri ve çok daha fazlasını toplayacak şekilde ayarlanmıştır. Tüm bu veriler daha sonra yöneticinin uygulama tarafından raporlanan tüm ölçümleri uygun gördüğü herhangi bir şekilde görebileceği, filtreleyebileceği, yerleştirebileceği ve sanal olarak düzenleyebileceği bir "portal" a aktarılır. Dahası, bazı eğitim belgelerine göre CIQ, neredeyse her şeyi bir metrik olarak değerlendirip kaydedebiliyor. Örneğin (TrevE'den harika bir örnek), diyelim ki bir ağ yöneticisi Kaliforniya'da saat 17:00'de çağrıları kesilen kişilerin verilerini kaydediyor. Farklı tetikleyiciler yoluyla elde edilebilecek tüm ölçümler nedeniyle, aynı ağ yöneticisi saat 17:00'de bir çağrının kesildiğini bilmekle kalmayacaktır. Kaliforniya'dasınız, ancak aynı zamanda Kaliforniya'nın neresinde olduğunuzu, o sırada telefonunuzla ne yaptığınızı, kaç kez yaptığınızı da bilecek. o zamana kadar uygulamalarınıza eriştiğinizi ve hatta cihazınıza yazdıklarınızı (hayır, bu sonuncusu abartı değil, bu şey bir key logger görevi görebilir) ilave olarak). Zaten korktun mu? Değilse, bu şeyin toplayabileceği bazı ölçümlerin bir kısmını burada bulabilirsiniz

Zaten yeterince gerçeği ortaya koyduğumuza göre, doğrudan konunun özüne inelim. Bu konuyla ilgili hiçbir şekilde sesimiz çıkmıyor. Cihazı köklendirmeden ve garantileri ihlal etmeden toplanan bu veriler konusunda yapabileceğimiz çok az şey var (zaten bunu yapmayı genellikle umursamıyoruz). Ancak sorun şu ki, tüm bu veriler, sizinle ilgili tüm bu bilgiler, cihazınızı nasıl kullandığınız, günlük aktiviteleriniz, cihazınızla yaptığınız her şey günlüğe kaydediliyor ve satılıyor. Çok uzun zaman önce Verizon öne çıktı (muhtemelen bunun olacağını gördükleri için) ve müşterilerine bu faaliyetten çekilme seçeneği sunmaya karar verdi. Temel olarak Big Red'in verilerinizi satmasını engellemek (ancak toplamasını engellemek). Sprint ise bir noktada varlığını inkar edecek kadar ileri gitti. Artık bunların, onlardan telefon alırken yaptığınız sözleşmenin bir parçası olduğunu biliyoruz, değil mi? Yanlış! Sprint'e göre, doğrudan eBay'den bir cihaz satın alsanız ve Sprint'te hizmetiniz olmasa bile (isterseniz bunu bir Wifi medya oynatıcısı olarak kullanın), Sprint yine de bu verileri sizden toplayabilir. Bunu yapmayı hiç planlamamış olsanız bile, onlara bağlandınız ve zincirlendiniz.

Diğer bir nokta ise topladıkları bilgi türüyle gündeme getirilen sorunların yasallığıdır. Bazı veriler ağ performansı ve hatta reklam amaçlı olarak anlamlı olabilir, ancak yazdıklarınıza kadar her şeyi izlemek bu yazarın görüşüne göre biraz fazla. Demek istediğim, bir şirketin yasal olarak bir şeye keylogger yerleştirmesine ve siz ondan hizmet alamadığınızda onu kullanmasına izin verebilecek ne tür bir izin verilebilir amaç var? Bu, bu noktada verilere potansiyel olarak erişilebileceği, ele geçirilebileceği ve hatta kodda döngü delikleri bulunabileceği gerçeğinin çok ötesindedir. Bu, tüketiciler olarak gizlilik haklarımızla ilgili bir konudur.

Kendinizi adil olmayan uygulamalardan korumanız muhtemelen Sprint'i arayıp bir çıkış yolu istemeniz durumunda hoş karşılanmayacaktır. Ancak TrevE, bazı HTC cihazlarından bu öğeleri manuel olarak kaldırmanın bir yolunu sunarken k0nane, birçok Samsung cihazı için tam bir kaldırma araç seti sağlar. Alternatif olarak, CIQ ve diğer "hizmetlerin" kaldırıldığı özel rom'lar da var. Cihazınızdaki öğeleri manuel olarak düzenleme konusunda fazla rahat değilseniz lütfen bunları deneyin.

Bu, tüketici haklarının temeline kadar açık bir ihlalidir. Bu seçeneği devre dışı bırakamamak düpedüz saçmalıktır ve bu durumun gelecek cihazlarda ve yazılım güncellemelerinde düzeltilmesini talep etmek isteriz. Unutmayın, kullanıcılarınızın/müşterilerinizin büyük çoğunluğu biz olmayabiliriz, ancak ne yazık ki sizin için topluluklarımız, satış çabalarınızı canlı bir kabusa dönüştürebilecek kişilerdir. Tüketiciler nihai anahtar sahipleridir ve bize dolar işareti olarak bakmayı bırakıp daha çok insan ve müşteri gibi bakmanızı öneririz. Sonuçta ben Olumsuz satılık ve mahremiyetim için dır-dir paha biçilemez.

Daha fazla bilgiyi şurada bulabilirsiniz: orijinal blog makalesi TrevE tarafından.

Portalda bir şeyin yayınlanmasını mı istiyorsunuz? Herhangi bir Haber Yazarıyla iletişime geçin.

Teşekkürler TrevE tüm sıkı çalışmanız için. Harikasın dostum!!!