Carrier IQ - czy rzeczywi艣cie mamy do czynienia z powa偶nym zagro偶eniem dla u偶ytkownik贸w smartfon贸w?

W ostatnich dniach du偶o m贸wi si臋 o oprogramowaniu Carrier IQ, kt贸re kilku ameryka艅skich operator贸w mobilnych zdecydowa艂o si臋 umie艣ci膰 w sprzedawanych przez siebie smartfonach. Pojawi艂y si臋 informacje, 偶e Carrier IQ uzyskuje dost臋p do prywatnych danych u偶ytkownik贸w. Timothy Armstrong, ekspert z Kaspersky Lab, komentuje spraw臋 z punktu widzenia bezpiecze艅stwa u偶ytkownik贸w.

Wed艂ug producenta programu Carrier IQ, jego celem jest gromadzenie danych statystycznych w celu usprawnienia wielu funkcji urz膮dzenia, na kt贸rym jest zainstalowany. Powodem oburzenia wielu u偶ytkownik贸w jest to, 偶e oprogramowanie to posiada dost臋p do ich danych.

Wyniki jednego z bada艅 (opublikowanego przez Trevora Eckharta) wskazuj膮, 偶e Carrier IQ posiada wgl膮d w praktycznie wszystko, co u偶ytkownik robi na swoim urz膮dzeniu - od wciskanych klawiszy, po nazwy u偶ytkownik贸w i has艂a przesy艂ane za po艣rednictwem szyfrowanych po艂膮cze艅 SSL (aczkolwiek przed ich zaszyfrowaniem). Mimo 偶e nowe badanie wykaza艂o, 偶e w rzeczywisto艣ci 偶adne z tych danych osobistych nie s膮 przechwytywane, ci膮gle mamy do czynienia z du偶ym prawdopodobie艅stwem nadu偶y膰.

Oburzenie klient贸w jest zrozumia艂e. Nie chcieliby艣my przecie偶, by kto艣 czyta艂 nasze SMS-y lub e-maile czy posiada艂 informacje o tym, czego szukamy w internecie. Problem ten jest jeszcze bardziej istotny dla firm, kt贸rych pracownicy mog膮 przechowywa膰 w smartfonach dane zwi膮zane z biznesem.

Trzeba pami臋ta膰, 偶e oprogramowanie Carrier IQ - jak ka偶de inne - mo偶e zosta膰 zaatakowane przez cyberprzest臋pc贸w. Z do艣wiadczenia analityk贸w wynika, 偶e nie istniej膮 aplikacje, kt贸re nie posiada艂aby 偶adnej wady. A zatem istnieje mo偶liwo艣膰, 偶e Carrier IQ zostanie zhakowany i kto艣 przechwyci dane, do kt贸rych to oprogramowanie ma dost臋p.

Pomijaj膮c kwesti臋 dost臋pu Carrier IQ do pewnych danych w艂a艣ciciela urz膮dzenia (na podstawie kt贸rych nie mo偶na go jednak zidentyfikowa膰 ani 艣ledzi膰 wysy艂anych i odbieranych tre艣ci) - najgorszy jest fakt, 偶e przeci臋tny u偶ytkownik nie jest w stanie usun膮膰, czy nawet wy艂膮czy膰 tego oprogramowania. Nawet je偶eli w tym celu "zrootuje" (w przypadku Androida) sw贸j telefon lub wykona "jailbreak" (dla systemu iOS), istniej膮 dowody na to, 偶e mo偶e doj艣膰 do naruszenia funkcjonalno艣ci, a nawet do sytuacji, w kt贸rej telefon nie b臋dzie nadawa艂 si臋 do u偶ytku, a偶 do momentu przywr贸cenia oryginalnego oprogramowania systemowego. Niekt贸rzy u偶ytkownicy instaluj膮 w swoich smartfonach niestandardowe wersje system贸w operacyjnych, jednak w pewnych przypadkach nic to nie daje: nadal znajduj膮 oni na urz膮dzeniu pliki oprogramowania Carrier IQ.

"Podsumowuj膮c, Carrier IQ to aplikacja rejestruj膮ca czynno艣ci u偶ytkownika, kt贸ra posiada dost臋p na poziomie administratora i jest zainstalowana na urz膮dzeniach klient贸w bez ich wiedzy" - m贸wi Timothy Armstrong, ekspert z Kaspersky Lab. "Chocia偶 klienci p艂ac膮 za us艂ugi telekomunikacyjne, ich dostawcy nie widzieli potrzeby poinformowania nikogo o obecno艣ci takiego oprogramowania. Carrier IQ nie tylko posiada szeroki dost臋p do danych, ale r贸wnie偶 nie mo偶na go w 艂atwy spos贸b wy艂膮czy膰 lub odinstalowa膰. Nawet je偶eli kto艣 rozgryzie, w jaki spos贸b mo偶na usun膮膰 t臋 aplikacj臋, istnieje niebezpiecze艅stwo zepsucia urz膮dzenia. Nie jestem przeciwny usprawnianiu us艂ug. Nie zgadzam si臋 jedynie z tym, aby dostawcy us艂ug celowo zatajali informacje o tym, co robi膮 z naszymi danymi na urz膮dzeniu, za kt贸re sami zap艂acili艣my, a co wi臋cej nie dawali 偶adnej mo偶liwo艣ci usuni臋cia oprogramowania takiego jak Carrier IQ. Mimo 偶e prawdopodobnie nie jest to nielegalne, z pewno艣ci膮 jest nieetyczne".

Co w tej sytuacji mog膮 zrobi膰 klienci operator贸w mobilnych? Wprawdzie istnieje mo偶liwo艣膰 wykrycia obecno艣ci Carrier IQ na urz膮dzeniu (w internecie mo偶na bez problemu znale藕膰 narz臋dzia oferuj膮ce tak膮 funkcjonalno艣膰), jednak na chwil臋 obecn膮 nie da si臋 go 艂atwo usun膮膰. Pozostaje zatem rozmowa z dostawc膮 us艂ug. Je偶eli oprogramowanie Carrier IQ zosta艂o zainstalowane na urz膮dzeniu u偶ytkownika, kt贸ry nie wyra偶a na to zgody, zalecamy skontaktowanie si臋 z dzia艂em obs艂ugi klient贸w operatora i wyra偶enie swojego niezadowolenia.

Wi臋cej informacji na temat najnowszych zagro偶e艅 mo偶na znale藕膰 w Encyklopedii Wirus贸w VirusList.pl prowadzonej przez Kaspersky Lab.

殴ród艂o:
Kaspersky Lab