Szpiegują miliony użytkowników smartfonów

| Bezpieczenstwo IT
practicalowl, CC

Trevor Eckhart opublikował w sieci film, który dowodzi, że na milionach smartfonów zostało zainstalowane oprogramowanie szpiegujące. Prezentacji dokonano na urządzeniu firmy HTC, jednak Eckhart mówi, iż podobny program firmy Carrier IQ znajduje się na telefonach Samsunga, Nokii, RIM-a oraz urządzeniach korzystających z systemu Android.

W sprawie filmu wypowiedział się były oskarżyciel Departamentu Sprawiedliwości, profesor Paul Ohm z University of Colorado Law School. Jeśli Carrier IQ w jakiś sposób przekonało producentów telefonów do zainstalowania oprogramowania zapisującego wszelkie naciśnięcia klawiszy, sesje internetowe i wysyłającego gdzieś te dane, to mamy tutaj do czynienia z podsłuchem definiowanym przez prawo federalne. A to daje osobom poszkodowanym prawo do wystąpienia z pozwem i domagania się wysokich odszkodowań.

Eckhart przed pokazem zresetował telefon do ustawień fabrycznych i nie nawiązywał żadnych połączeń. Następnie udowodnił, że każde naciśnięcie klawiszy jest natychmiast wysyłane do programu ukrytego głęboko w telefonie. Aplikacja otrzymuje dane o naciśniętych klawiszach jeszcze zanim otrzymają się inne programy, dla których dane te są przeznaczone. Program firmy Carrier IQ przechwyci to, co napiszemy w telefonie wcześniej, niż zobaczymy nasz tekst na wyświetlaczu.

Następnie Eckhart połączył się z siecią Wi-Fi i wszedł na Google'a. Mimo, iż nie dał wyszukiwarce prawa do dzielenia się informacjami o swojej lokalizacji, program Carrier IQ zanotował ją. Był też w stanie zachować tekst, który Eckhart pisał po wejściu na witrynę chronioną protokołem SSL.

Nie wiadomo, co się dzieje z danymi zapisywanymi przez program Carrier IQ. Firma chwali się na swojej stronie, że jej oprogramowanie zainstalowano na 140 milionach urządzeń. Jednocześnie twierdzi, że na potrzeby swoich klientów, którymi są operatorzy sieci komórkowych, zbiera jedynie ograniczoną liczbę „informacji operacyjnych".

Profesor Ohm mówi, że nawet jeśli z danych takich, przed ich wysłaniem na zdalny serwer, usuwane są informacje pozwalające zidentyfikować użytkownika, to i tak zgodnie z amerykańskim prawem Carrier IQ, a prawdopodobnie też jego klienci, który korzystali z takiej usługi, mogą spodziewać się kosztownych pozwów.

Uczony przypomina, że gdy pracował w Departamencie Sprawiedliwości pozywaliśmy ludzi za instalowanie na komputerach oprogramowania o takich możliwościach.

Jeśli sprawa trafi do sądu, Carrier IQ będzie się zapewne broniło twierdząc, że użytkownicy zgodzili się na jakąś formę śledzenia podpisując umowę z operatorem telefonii komórkowej. Eckhart mówi jednak, że gdy włączył tryb samolotowy, zamykając połączenie z siecią operatora i łącząc się tylko z Wi-Fi, oprogramowanie Carrier IQ nadal zapisywało wciskane klawisze. Przypomina, że operator definiuje swoją usługę, jako swoją własną sieć. Nie rozumiem, w jaki sposób mój telefon podłączony do mojej sieci miałby być ich usługą i jak mogliby mieć prawo do patrzenia, co robię.

Profesor Ohm przypomina też, że nawet gdy telefon podłączony jest do sieci operatora, to tylko i wyłącznie operator jest chroniony umową podpisaną z użytkownikiem. A to znaczy, że pośrednicząca w zbieraniu danych firma zewnętrzna może zostać pozwana przez użytkowników, którzy nie wiedzieli o jej działaniach i nie wyrazili na nie zgody.

smartfon szpiegowanie Carrier IQ Android Nokia Samsung RIM