Carrier IQ Gate wordt een 'Zwarte Pieten spel'

Vorig artikel Volgend artikel

De speculatie over wie nu precies verantwoordelijk is voor Carrier IQ Gate, wie het al dan niet gebruikt, waarom, en in hoeverre de fabrikanten en providers een rol spelen loopt uit op een heus 'Zwarte Pieten spel' (en dat op 5 december ;-)))

Vorige week werd al duidelijk dat fabrikanten in Nederland geen toestellen met Carrier IQ verkopen en dat ook de landelijke providers (en hun MVNO's) er geen gebruik van maken. In diverse andere landen, waaronder de VS, is dat echter wel het geval.

Carrier IQ, de maker van de 'spionage' en 'logging' software zegt nu dat de fout voor de toegankelijkheid van de logfiles, zoals die vorige week pijnlijk blootgelegd werd in een video van een Android ontwikkelaar, gezocht moet worden bij de fabrikanten die tekortschieten bij de beveiliging van de betreffende bestanden.

In een interview met The Verge wees de VP Marketing van Carrier IQ, Andrew Coward, met een beschuldigende vinger met name naar de fabrikanten. "Onze software is gemaakt om data uit te wisselen met de providers. Dat gebeurt via een door ons zelf geschreven API. Het is niet nodig dat die bestanden opgeslagen worden in een logfile. CIQ maakt gebruik van een tijdelijk, gecodeerd, logbestand dat regelmatig overschreven wordt. Het lijkt er op dat de fabrikant in kwestie (het toestel dat in de video getoond werd was een HTC, red.) een kopie van die logfile opslaat en die is dus 'gekraakt' en (eenvoudig) toegankelijk", aldus Coward. "Wij maken software die providers in staat stelt bepaalde (noodzakelijke) data op te slaan en te gebruiken. Denk aan speciale (SMS) commando's en shortcodes die een provider nodig heeft om bepaalde diensten te kunnen verlenen."

In een gesprek met The Register schuift Andrew Coward ook een Zwarte Piet in de schoenen van de providers. "De inhoud van SMS berichten wordt nooit opgeslagen en verzonden door ons. Wij verzamelen data voor de providers en het is aan hun om zich aan de privacy wetgeving te houden. Het gebruik en de beveiliging van de data valt onder hun verantwoordelijkheid. Soms staat die data op onze servers en soms op die van de providers zelf. Daarbij komt dat providers ook zonder onze software al deze (uitgelekte, red) data tot hun beschikken hebben".

Enfin, Carrier IQ doet er dus alles aan om duidelijk te maken dat hen geen blaam treft als het gaat om het uitlekken en toegankelijk zijn van data die hun software (tijdelijk en gecodeerd dus) opslaat. De fabrikanten zijn de schuldigen, in de ogen van Carrier IQ, waar het gaat om de uitgelekte en toegankelijk gemaakte 'extra' logfiles. Natuurlijk is het erg dom als de fabrikanten inderdaad een 'eigen' logfile kopie maken van de gecodeerde versie die door de API van Carrier IQ gegenereerd wordt, maar het feit blijft dat er dus software in omloop is waarmee het mogelijk is om letterlijk bijna alles wat we op een smartphone doen te volgen. Daarbij moet ook gezegd worden dat ik denk (en velen met mij), zoals Coward ook al zegt, dat Carrier IQ heus niet de enige ontwikkelaar is die dit soort software maakt.

Carrier IQ heeft vorige week wel de Zwarte Piet toegespeeld gekregen door de video die ineens opdook en proberen nu uit alle macht om die Zwarte Piet weer door te schuiven in een poging de schade voor Carrier IQ zoveel mogelijk te beperken. Ik ben benieuwd naar de reactie van HTC. Die lijken nu de Zwarte Piet te hebben en zullen ongetwijfeld een poging doen die weer door te schuiven naar de prviders en/of terug te spelen naar Carrier IQ. Overigens bleek uit een (onbevestigde) gelekte memo van T-Mobile USA dat deze fabrikant ook een aantal toestellen voert waarop Carrier IQ geinstalleerd is. In dat lijstje staan één HTC, twee Samsungs, twee T-Mobile branded toestellen, één LG en drie BlackBerry's. T-Mobile in de VS gebruikt Carrier IQ om de accu prestaties, 'verbroken gesprekken' en fouten in applicaties (crashes bijvoorbeeld) te monitoren. Wordt vervolgd!

Uit het interview met The Verge:
Andrew Coward, Carrier IQ: When a piece of information is sent to us from the operation system, we do not need it to go through that log file. There is no value to us in reading a keylog file, that's not how our software works.

The Verge: That is not your log file?

Coward: That logfile is not our logfile. It's a standard, Android system logfile. What goes in that logfile is up to the manufacturer. ...So, you would hope in a shipping device, you wouldn't get very much information to go in there.

The Verge: [...] I'm trying to understand why a manufacturer, in order to give you certain information, is actually logging keystrokes. I want to separate those two things. It's logging it, putting it into this file, and then giving it to you?

Coward: What should be happening, is it should just be giving it to us through the API. What appears to be happening is that it's giving it to us and making a copy of what it gave to us in the log file.

Carrier-IQ-Logging
Ron Smeets

Ron is mede oprichter en hoofdredacteur van Mobile Cowboys. Zijn passie voor mobiele gadgets is ontstaan aan het begin van de jaren 90 en groeit nog dagelijks....

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies