Android黑客和专业安全顾问 Dan Rosenberg (你可能认识他是来自Internets的 djrbliss )已经完成了他自己的Carrier IQ研究,并发现了一些有趣的结果。 关于记录键击和间谍短信的所有报道看起来都被归咎于错误的一方,因为他的研究表明,所写的Carrier IQ只能捕获运营商发送给它的数据(称为指标),即使这样仍然需要咨询运营商已经CIQ专门为其安装编写的配置文件(将其视为任何应用程序的设置页面)。 用他自己的话说:
亲爱的互联网,
CarrierIQ做了很多坏事。 这是用户隐私的潜在风险,用户应该有权选择退出。
但人们需要认识到,将键击和HTTPS URL等事件记录到调试缓冲区(这本身就非常糟糕),并实际收集,存储和传输此数据到运营商(这不会发生)之间存在很大差异。 。 在我自己对CarrierIQ进行逆向工程之后,我没有看到任何证据表明他们收集的内容超出了他们公开宣称的内容:匿名度量数据。 “看起来,当我按下一个键时它会发生一些事情”和“它将我的所有按键发送给运营商!”之间存在很大差异。 基于我所看到的,CarrierIQ中没有代码实际记录用于数据收集目的的击键。 当然,这些事件中存在钩子这一事实表明未来版本可能会滥用此类功能,并且CIQ应该被追究责任并受到密切关注,以便不会发生此类隐私入侵。 但最近所有噪音都是毫无根据的。
有很多理由对CIQ感到不安,但请不要根据不完整的证据得出结论。
问候,
丹罗森伯格
那么我们在Trevor Eckhart的EVO视频中看到的所有内容呢? 它显然在那里,那么这一切又如何呢? 我们不是专业或其他方面的安全研究人员,但我们每天都在阅读有关漏洞和安全的书呆子。 我们可以想到的最好的是,HTC已将这些事件暴露给日志,同时将其作为匿名度量数据发送到Carrier IQ应用程序。 仍然没有任何证据,也从来没有任何证据可以发送到任何地方。
消除这一消息最大的一点是,虽然Carrier IQ很可怕,而且我们很多人都认为它们很邪恶,但它们只提供收集运营商和OEM提供的数据的服务。 这需要变得更加透明,因为它永远不会消失 - 如果你不喜欢它不使用我们的网络,没有人拿枪对你的头可能是运营商对这个主题的立场,并且他们是对的。 我们在这个问题上的选择是不要把钱花在他们身上,天堂知道我明白这个想法是多么不受欢迎。 但事情看起来越来越像运营商和制造商需要在这里分担一些责任,而这整个混乱是收集他们已经收集的数据的简单方法。
当我们在这里结束时,我们可以开始研究那些急忙喊“我们不在我们的手机上使用Carrier IQ”的公司如何使用Carrier IQ之外的其他东西收集相同的数据,因此我们可以确定更改是全面制造,而不是将硅谷的一家小公司钉在十字架上。
来源:令人满意; 引擎收录
