แฮ็กเกอร์ Android และที่ปรึกษาด้านความปลอดภัยระดับมืออาชีพ Dan Rosenberg (คุณอาจรู้จักเขาในฐานะ djrbliss จาก Internets) จบการศึกษาของตัวเองใน Carrier IQ และพบผลลัพธ์ที่น่าสนใจ รายงานทั้งหมดเกี่ยวกับการบันทึกการกดแป้นและการสอดแนมในข้อความ SMS ดูเหมือนจะถูกตำหนิในกลุ่มที่ไม่ถูกต้องเนื่องจากงานวิจัยของเขาแสดงให้เห็นว่า IQ ผู้ให้บริการตามที่เขียนสามารถจับเฉพาะข้อมูลที่ผู้ให้บริการส่งไปเท่านั้น ยังคงต้องปรึกษาโปรไฟล์ (คิดว่าเป็นหน้าการตั้งค่าสำหรับแอพใด ๆ) ที่ผู้ให้บริการมี CIQ เขียนโดยเฉพาะสำหรับการติดตั้ง ในคำพูดของเขา:
เรียนอินเทอร์เน็ต
CarrierIQ ทำสิ่งเลวร้ายมากมาย เป็นความเสี่ยงที่อาจเกิดขึ้นกับความเป็นส่วนตัวของผู้ใช้และผู้ใช้ควรได้รับความสามารถในการยกเลิก
แต่ผู้คนจำเป็นต้องรับรู้ว่ามีความแตกต่างอย่างมากระหว่างการบันทึกเหตุการณ์เช่นการกดแป้นและ HTTPS URL ไปยังบัฟเฟอร์การดีบั๊ก (ซึ่งค่อนข้างแย่ในตัวเอง) และการรวบรวมจัดเก็บและส่งข้อมูลนี้ไปยังผู้ให้บริการ. หลังจากผู้ให้บริการด้านวิศวกรรมย้อนกลับด้วยตนเองฉันไม่เคยเห็นหลักฐานที่แสดงว่าพวกเขากำลังรวบรวมอะไรมากกว่าสิ่งที่พวกเขาอ้างสิทธิ์ในที่สาธารณะ: ข้อมูลการวัดแบบไม่ระบุชื่อ มีความแตกต่างอย่างมากระหว่าง "รูปลักษณ์มันทำอะไรบางอย่างเมื่อฉันกดแป้น" และ "มันกำลังส่งการกดแป้นพิมพ์ทั้งหมดของฉันไปยังผู้ให้บริการ!" จากสิ่งที่ฉันเห็นไม่มีรหัสใน CarrierIQ ที่บันทึกการกดแป้นสำหรับการรวบรวมข้อมูล แน่นอนความจริงที่ว่ามีตะขอในเหตุการณ์เหล่านี้แสดงให้เห็นว่าเวอร์ชันในอนาคตอาจใช้ฟังก์ชันประเภทนี้ในทางที่ผิดและ CIQ ควรรับผิดชอบและอยู่ภายใต้การตรวจสอบอย่างใกล้ชิดเพื่อไม่ให้เกิดการบุกรุกความเป็นส่วนตัวประเภทนี้ แต่เสียงล่าสุดทั้งหมดในที่นี้ส่วนใหญ่ไม่มีมูลความจริง
มีเหตุผลมากมายที่ต้องเสียใจเกี่ยวกับ CIQ แต่โปรดอย่าข้ามไปยังข้อสรุปจากหลักฐานที่ไม่สมบูรณ์
ความนับถือ,
แดนโรเซนเบิร์ก
แล้วทุกอย่างที่เราเห็นในวิดีโอของ EVO ของ Trevor Eckhart คืออะไร? เห็นได้ชัดว่ามีดังนั้นสิ่งที่ขึ้นอยู่กับว่า? เราไม่ได้เป็นนักวิจัยด้านความปลอดภัยมืออาชีพหรืออื่น ๆ แต่เราเป็นคนโง่ที่อ่านเกี่ยวกับการหาประโยชน์และความปลอดภัยทุกวัน สิ่งที่ดีที่สุดที่เราสามารถนึกได้คือ HTC ได้เปิดเผยเหตุการณ์เหล่านั้นไปยังบันทึกในขณะที่ส่งเป็นข้อมูลเมตริกที่ไม่ระบุชื่อไปยังแอพ Carrier IQ ยังไม่มีหลักฐานและไม่เคยมีข้อมูลใด ๆ ถูกส่งไปทุกที่
สิ่งที่ยิ่งใหญ่ที่สุดที่จะนำออกไปจากข่าวนี้คือในขณะที่ Carrier IQ น่ากลัวและเราหลายคนคิดว่าพวกเขาชั่วร้ายพวกเขาเพียง แต่ให้บริการเพื่อรวบรวมข้อมูลที่ผู้ให้บริการและ OEM ให้บริการ สิ่งนี้จะต้องมีความโปร่งใสมากขึ้นเพราะมันจะไม่หายไป - ถ้าคุณไม่ชอบมันไม่ใช้เครือข่ายของเราไม่มีใครถือปืนไว้ที่หัวคุณเป็นไปได้ว่าผู้ให้บริการจะยืนหยัดในเรื่องนี้และใน วิธีที่ถูกต้อง ทางเลือกของเราในเรื่องนี้คือการไม่ใช้เงินกับพวกเขาและสวรรค์ก็รู้ว่าฉันเข้าใจว่าความคิดนั้นไม่เป็นที่นิยม แต่สิ่งต่าง ๆ กำลังมองหามากขึ้นเช่นผู้ให้บริการและผู้ผลิตจำเป็นต้องแบ่งปันความผิดเล็กน้อยที่นี่และความยุ่งเหยิงทั้งหมดนี้เป็นวิธีที่ง่ายกว่าในการรวบรวมข้อมูลที่รวบรวมมาแล้ว
เมื่อเราเสร็จสิ้นที่นี่เราสามารถเริ่มต้นดูว่า บริษัท ที่พุ่งไปข้างหน้าตะโกนว่า "เราไม่ใช้ Carrier IQ บนโทรศัพท์ของเรา" กำลังรวบรวมข้อมูลเดียวกันกับสิ่งอื่นที่ไม่ใช่ Carrier IQ ดังนั้นเราจึงมั่นใจได้ว่าการเปลี่ยนแปลงนั้น เกิดขึ้นทั่วกระดานเมื่อเทียบกับการตรึง บริษัท ขนาดเล็กใน Silicon Valley
ที่มา: ช่องโหว่; Pastebin
