Fabrikslevererade trojaner i telefoner [Carrier IQ]

Trevor Eckhart skrev nyligen en del om Carrier IQ, en app för att operatörer skall få statistik från vår användning.

Lite smakprov på vad som skrivs om Trevors avslöjande:

If these claims are correct, then nobody who deals in confidential information should use an Android mobile with this installed. Since most of us have online bank accounts or other secure logins that we use on our mobile, that makes an Android phone a risky proposition for almost anyone.

The very extensive list of Android security permissions granted to IQRD would raise anyone’s eyebrow, considering that it’s remotely controlled software, but some things such as reading contact data, Services that cost you money, reading/edit/sending sms, recording audio(?!??!?) and writing/changing wireless settings seem a bit excessive.

Min egen kommentar: Varför behöver någon som samlar användarstatistik kunna koppla upp samtal från våra telefoner, registrera och skicka våra SMS, läsa krypterade inloggningsuppgifter?

Trevors ganska långa artikel har ni här:

CarrierIQ | Android Security Test

Om era telefoner är rotade kan ni plocka bort skiten, Trevor har verktyg för det, verktyg som också hittar andra spionappar. Ett tips; en av apparna behöver en binary, Sqlite. Har ni den inte hittar ni den på Market, SQLite Installer for Root.

 

Skulle tippa på att detta inte gäller oss i Norden. Det är dem amerikanska operatörerna som begärt att ha Carrier IQ på alla mobiler dem säljer. Amerikanska android mobiler är fyllda med bloatware från Sprint, AT&T, Verizon etc

Men nån kanske kan kolla bara för att vara säker (min e stock)

 

Jag kör Android 2.3.3. Hade inte Carrier IQ i min Desire. Hade dock andra enligt Trevors verktyg. Läste lite hastigt men fattade det som att det största problemet med en del av dem är en allmän säkerhetsrisk man upptäckt. Fanns även andra som installeras av HTC som man tydligen inte borde ha. Rensade bort de jag hade och kommer inte ihåg namnen på alla. En heter QXDM2SD.apk. Den har även en vidhängande driver och en annan fil. Dessa ligger dock antagligen på en mycket lägre risknivå än Carrier IQ

 

Android Police har också en intressant artikel om CIQ
How Deep Does The Rabbit Hole Go? An In-Depth Look At Carrier IQ, The Data It Logs, And What's Really Going On

 

Ni får förlåta men jag kunde inte låta bli. Samhället har blivit så fruktansvärt rädd för allt som inte är tillverkat på bakgården. Alla tror att alla vill alla illa. Hela tiden. Alltid. Speciellt de stora företagen som ju inte alls är så stora mycket tack vare ett rykte de byggt upp. Det är ju inte heller så att de skulle bli påverkade om någon av alla dessa konspirationsteorier bevisades vara sanna och att de som köpt telefonen då skulle känt sig kränkta...

 

Det handlar inte om att vilja någon illa. Det handlar om att det vi tror är privat inte är det. Varenda knapptryck du gör på telefonen och allt du skriver registreras. Även lösenord och webbadresser i https loggas. Dessutom så registreras din position även om du aktivt väljer att så inte ska ske. Allt detta sker utan din vetskap, utan att du kan hindra det och du har ingen aning om hur informationen används.

Tycker du verkligen inte det är några problem?

 

Nja det handlar nog inte om att man tror att företagen vill en illa. Data mining är ju ett faktum. Google blev ju rika tack just detta (kolla vad vi söker på och sedan sälja det till annonsörer)

Men om deras trojan lämnar en öppen för att känslig information hamnar i händerna hos en tredje part så måste man ju täppa till det hålet och det gör man genom att uppmärksamma problemet först och främst

 

Så länge det inte används till något som skadar mig eller annan person ser jag inga problem i det nej. Det enda är väl att man skulle vilja godkänna det innan. Om något.

Eftersom jag inte vet om något sådant tillfälle, när de t.ex. använder ditt lösenord, lägger jag helt enkelt inte energi på att försöka stoppa något.

Jag har ju ingen aning om hur en butik tar hand om mina kontokort. De kan bli skimmade. Inte går jag runt med kontakter bara för det. Jag sätter min tilltro i att de stora företagen inte använder detta för att på något sätt skada sina användare utan snarare använder det som undersökningar eller i annat fall riktad reklam. Det senare som Google.

Och angående riktad reklam är jag absolut för det. Hellre riktad och relevant reklam än sådan jag inte bryr mig om!

 

Enligt Samsung så finns det inte på Samsungtelefoner sålda i Sverige. Spionprogram i android-mobiler | IT | SvD

@Dirk
Vi har ingen aning om hur dessa uppgifter används. Du kan ju fråga dig varför operatören vill ha dina lösenord och veta varje knapptryckning du gör.

 

Jag tror du har fokus på fel saker. På foliehatten.

Jag tror inte att de lägger in en app för att jaga våra lösenord. De lägger in en app av andra anledningar. Kan vara att rikta reklam. Titta på hur mycket text en användare skriver. Var som är populärt att surfa. Var någonstans de har marknad och var någonstans de inte har det. Whatever.

Om du alltid förutsätter det värsta tänkbara lär du inte direkt leva ett stressfritt liv

 

Visst jag misstänker också att CIQ finns för direkt reklam syften. Dock förtjänar ju kunder veta innan dem köper så att dem kan få välja själva om dem vill ha det eller inte. Att få veta såhär i efterhand förstör ju tilltron till företagen även om informationen dem samlar "kan" vara ofarlig

Men som sagt, med stor sannolikhet finns inte CIQ på nordiska telefoner ens så detta handlar snarare om den amerikanska affärsmodellen än ett problem med Android. Är man nojjig så är det dock en utmärkt anledning att hålla sig till Nexus serien framöver

 

De hade lika gärna kunnat skapa en app som inte loggar precis allt men de valde att skapa en som registrerar varenda input som telefonen får. De har dessutom valt att dölja det och gjort det omöjligt för normalanvändaren att stoppa datainsamlandet.

Även om de har ärliga avsikter så är risken för missbruk enormt stor. Vi vet inte heller vad som sparas och hur väl databasen skyddas. Allt som samlas in kan läcka ut så varför samla in känslig information i onödan.

 

Jag tycket inte man skall rycka på axlarna åt sådant här. Det finns gott om dokumenterade exempel under historiens gång där stater och företag gravt missbrukat information och liknande. Ger man bort sin integritet och frihet så är risken ganska stor att någon för eller senare kommer missbruka den makt du gett bort. Jag skulle inte ge nyckeln till mitt hem till en total främling med argumentet att majoriteten av människor ändå inte skulle missbruka detta förtroende.

Det är sunt att ifrågasätta och försöka bli av med sådan här idioti. Det är sunt förnuft att ta på sig foliehatten när man anar suspekta motiv.

 

Medhåll, fattar inte hur folk kan rycka åt axlarna åt sånt här och kalla folk paranoida. Ok, om ni personligen inte har något emot att företag samlar på sig all er info och ni litar på det, men det är lite som om en porrstjärna säger åt en medelsvensson att slappna av och inte vara så pryd och strunta i om någon filmar dem när de har sex utan att de vet om det. Integritet är en personlig grej.

Och om det inte var en sån big deal, varför lägger de ner så extrem stor möda på att dölja det? Varför inte köra med helt öppna kort och säga vi gör det här och det här?
Och nivån på åtgången de hade? Varför i hela friden behöver de kunna spela in audio?

 

Bara jag som är förvånad över bristen på reaktion och uppmärksamhet över detta fall? Kollat runt lite på teknikbloggar och nämns knappt någonstans. Engadget inte ett knyst, trots att de rapporterar ALLT annat som hänt. De enda som nämner något är de som tar tillfället i akt att kasta skit på android(som Gizmodo) när detta inte ens är något Android specifikt eller har överhuvudtaget något med Google att göra.

Detta är ju något som borde beröra ALLA teknikintresserade, tom vanliga svennsons. På gott och ont, bara för att det inte handlar om Apple så är det ingen som bryr sig. Minsta fel på en apple eller om Apple släpper en telefon med vitt skal och det är på Nyheterna på tv, men nu är det ingen som bryr sig.

Man blir så less...

 

Inte läst specifikt om detta fallet, men liknande fall inom alla områden känns inte helt ovanliga nuförtiden vilket är tråkigt, och det är onekligen många med "rent mjöl i påsen"-attityden som tar det med en klackspark (tids nog kanske ni har en filmkamera på skithuset vilket kanske skulle få en annan reaktion).

Känns som att root, blåsa rent allt, samt droidwall för allt som ej behöver nät-åtkomst är den bästa lösningen.

 

Det är läskigt hur naiv du är. Eller trollar du bara?
Problemet är liksom inte att HTC tar ditt facebooklösenord och skriver "bajs" på din profil.
Problemet är att det finns potential att logga i princip ALLT du gör på din telefon.

Det är fullkomligt ovidkommande vad operatörer/telefontillverkare har för avsikt att använda informationen till, vilket säkert är mestadels fina grejer. MÖJLIGHET finns till riktigt läskiga scenarion.

Det är änsålänge bara en RISK. Det är dags för dig och alla oss andra att bli förbannade nu, innan skit händer.

 

Dirk tycker det är bra att hans bankuppgifter och lösenord skickas i klartext med ett program som opperatörerna själva säger inte existerar.

Dirk tycker också det är helt okej att skaparna av samma program försöker tysta ner den person som hittade programmet genom att hota honom med miljonvite om han inte höll käft.

Det spelar ju ingen roll vad appen används till, det är vad den gör.

 

Rätt intressant att den där Trevor numera tar $1 för sin app som ska hjälpa en ta bort den här "trojanen".

Just sayin...