І сага про шпигунство та вторгнення в конфіденційність триває, але цього разу визнаний розробник XDA TrevE здається, вразив саму суть більшості того, що відбувається з пристроями. Можливо, ви пам’ятаєте з кількох статей тому, що ми почали говорити про щось під назвою CIQ або Carrier iQ. Це, по суті, частина програмного забезпечення, яка вбудована в більшість мобільних пристроїв, не лише Android, але й Nokia, Blackberry та, ймовірно, багато інших. Відповідно до TrevE, програмне забезпечення встановлюється як програмне забезпечення руткіта в оперативній пам’яті пристроїв, на яких воно знаходиться. Це програмне забезпечення в основному повністю приховане від очей і в ньому практично невидиме, і найгірше все це досить складно вбити (деякі пристрої більш складні, ніж інші, і ви побачите, чому через декілька хвилин). Це дає root-права на пристрій, що означає, що він може робити все, що заманеться, і вам нічого про це сказати.
Чому ми це вдаємося? Ну, деякий час тому я вів кілька розмов із TrevE щодо всіх PoC HTC, якими він займався над чим працював, і він почав цікавитися CIQ, оскільки, за його словами, це була одна з найгірших речей, які він знайшов у HTC код. Отже, він вирішив почати трохи копатися в цьому і виявив, що про це програмне забезпечення можна сказати набагато більше, ніж навіть виробники посміють сказати. Виявляється, CIQ – це не зовсім те, що багато людей не бачать (оскільки він прихований), а радше дуже корисний інструмент для системних і мережевих адміністраторів. Інструменти використовуються для надання відгуків і відповідних даних щодо кількох показників, які можуть допомогти одному з вищезазначених адміністраторів усунути неполадки та покращити продуктивність системи та мережі. Справа в тому, що додаток, здається, працює таким чином, що дозволяє користувачеві надавати необхідні дані за допомогою опитувань та інших речей. Щоб представити речі більш наочно, це те, що CIQ
А ось як насправді виглядає CIQ в пристроях Samsung і HTC відповідно
Бачите різницю? О, і якщо вам цікаво, перше зображення з «незайманої» копії CIQ. Наш улюблений розробник знайшов незайману копію цього разом із масою інформації, включаючи навчальні відео, посібники та цілу купу матеріалів, які, по суті, змусять ваше волосся вставати прямо. У наведених вище версіях є набагато більше, ніж просто косметичні зміни. Меню та опитування повністю видалені у версії HTC і частково у версії Samsung, тому їх неможливо зрозуміти, якщо ви дійсно не знаєте, на що дивитеся. Наприклад, так звана можливість відмови від цього взагалі відсутня в пристроях HTC, а в пристроях Samsung її дуже важко вимкнути. Крім того, ви можете побачити деякі події або тригери, які в основному дозволять цій програмі збирати дані (дякую, визнаний розробник XDA k0nane для вашої роботи на пристроях Samsung)
Відомі тригери, знайдені на телефонах HTC:
Клавіша в HTCDialer натиснута або натиснуті клавіші клавіатури:Намір – com.htc.android.iqagent.action.ui01
Додаток відкрито – Намір – com.htc.android.iqagent.action.ui15Отримано смс – Намір – com.htc.android.iqagent.action.smsnotifyЕкран вимкнено/увімкнено – Намір – com.htc.android.iqagent.action.ui02Дзвінок отримано – Намір – com.htc.android.iqagent.action.ui15Статистика ЗМІ – Намір – com.htc.android.iqagent.дія.mp03Статистика розташування – Намір – com.htc.android.iqagent.action.lc30
Відомі тригери Samsung забезпечується Член XDA k0nane :UI01: натискання екрана в будь-якому місці або натискання клавіші InputMethod (будь-яка програмна клавіатура).
NT10: читання запиту HTTP.
NT0F: надсилання запиту HTTP.
UI11: невідомий, розташований у класі View, який має власний підклас IQClientThreadRunnable.
AL34: завантаження розпочато у фреймі браузера – URL.
AL35: завантаження розпочато у фреймі браузера – початок і кінець отримання даних, початок і кінець візуалізації сторінки.
AL36: довжина даних.(Наведені вище два також можна знайти в класах LoadListener і WebViewCore. Веб-метрики відсутні на Skyrocket, але є на Epic 4G і Epic 4G Touch.)
HW03: стан батареї змінено. (Також не знайдено на Skyrocket.)
Хочу більше? Тип "показників" або даних, які ця програма може збирати. У оригінальній версії програми програма налаштована на збір таких даних, як стан мережі, ідентифікатор обладнання та виробник тощо. Потім усі ці дані надсилаються на «портал», де адміністратор може переглядати, фільтрувати, розміщувати та віртуально впорядковувати всі показники, які повідомляє програма, будь-яким способом, який він/вона вважає за потрібне. Більше того, згідно з деякими навчальними документами, CIQ може фактично розглядати будь-що як метрику та записувати це. Наприклад (чудовий приклад TrevE), скажімо, мережевий адміністратор записує дані для людей, які втратили виклик у Каліфорнії о 5 вечора. Через усі показники, які можна отримати за допомогою різних тригерів, той самий мережевий адміністратор не просто знатиме, що ви отримали скинутий дзвінок о 17:00. у Каліфорнії, але він/вона також знатиме, де в Каліфорнії ви були, що ви робили зі своїм телефоном у той час, скільки разів ви отримував доступ до ваших програм до того моменту та навіть до того, що ви ввели на своєму пристрої (ні, це останнє не перебільшення, ця річ може працювати як реєстратор ключів так само). Вже злякався? Якщо ні, ось фрагмент деяких показників, які ця річ може зібрати
Оскільки ми вже навели достатньо фактів, зануримося безпосередньо в суть питання. Ми взагалі не маємо голосу з цього питання. Ми мало що можемо зробити, щоб ці дані збиралися, не рутуючи пристрій і не порушуючи гарантії на них (не те, щоб ми зазвичай це турбувалися). Але проблема полягає в тому, що всі ці дані, вся ця інформація про вас, про те, як ви використовуєте свій пристрій, вашу щоденну діяльність, усе, що ви робите зі своїм пристроєм, реєструється та продається. Не так давно з’явилася Verizon (ймовірно, коли вони бачили це) і вирішила надати своїм клієнтам можливість відмовитися від цієї діяльності. По суті, забороняючи Big Red продавати ваші дані (але не збирати їх). Sprint, з іншого боку, зайшов так далеко, що заперечував його існування в один момент. Тепер ми знаємо, що все це є частиною контракту, який ви укладаєте, коли купуєте в них телефон, чи не так? неправильно! Відповідно до Sprint, навіть якщо ви купуєте пристрій прямо на eBay і не маєте жодної послуги на Sprint (використовуйте його як медіаплеєр Wi-Fi, якщо хочете), Sprint все одно може збирати ці дані від вас. Ви зв’язані й прикуті до них, навіть якщо ніколи цього не планували.
Іншим моментом є законність порушуваних питань щодо інформації, яку вони збирають. Деякі дані можуть бути значущими для продуктивності мережі та навіть для рекламних цілей, але контролювати все, аж до того, що ви вводите, це занадто, на думку автора. Я маю на увазі, яка є допустима мета, яка може дозволити компанії законно розмістити на чомусь реєстратор ключів і використовувати його, коли ви навіть не отримуєте від них послуг? На даний момент це далеко за рамки того факту, що дані потенційно можуть бути доступними, перехопленими або навіть присутніми в коді петлі. Це питання наших прав на конфіденційність як споживачів.
Захист від нечесних дій, швидше за все, буде негативно сприйнятий, якщо ви зателефонуєте Sprint прямо зараз і попросите їх про вихід. Однак TrevE надає можливість вручну видалити ці речі з деяких пристроїв HTC, тоді як k0nane надає повний набір інструментів для видалення для кількох пристроїв Samsung. Крім того, існують користувацькі роми, у яких видалено CIQ та інші «служби». Будь ласка, спробуйте їх, якщо вам не дуже зручно редагувати вручну дані на вашому пристрої.
Це явне порушення прав споживачів по суті. Неможливість відмовитися — це просто смішно, і ми хотіли б попросити, щоб це було виправлено в майбутніх оновленнях пристроїв і програмного забезпечення. Пам’ятайте, що ми можемо не бути переважною більшістю ваших користувачів/клієнтів, але, на жаль для вас, саме наші спільноти можуть перетворити ваші продажі на справжній кошмар. Споживачі є основними власниками ключів, і ми пропонуємо вам перестати дивитися на нас як на знаки долара, а більше як на людей і клієнтів. Загалом, я ні на продаж і моя конфіденційність є безцінний.
Ви можете знайти більше інформації в оригінальна стаття в блозі від TrevE.
Хочете опублікувати щось на порталі? Зверніться до будь-якого автора новин.
Дякую TrevE за всю вашу важку працю. Ти рок, чувак!!!