Androidハッカーおよびプロのセキュリティコンサルタントである Dan Rosenberg (インターネットの djrbliss として彼を知っているかもしれません)は、Carrier IQに関する彼自身の研究を完了し、いくつかの興味深い結果を見つけました。 キーストロークのログ記録とSMSメッセージのスパイに関するこれらのすべてのレポートは、書かれたCarrier IQがキャリアが送信するデータ(メトリックと呼ばれる)のみをキャプチャできることを彼の研究が示しているため、間違った相手に非難されているようです。キャリアがインストール専用にCIQに書き込みを行ったというプロファイル(アプリの設定ページと考えてください)を参照する必要があります。 彼自身の言葉で:
親愛なるインターネット、
CarrierIQは多くの悪いことをします。 これはユーザーのプライバシーに対する潜在的なリスクであり、ユーザーはそれをオプトアウトする能力を与えられるべきです。
ただし、キーストロークやHTTPS URLなどのイベントをデバッグバッファーに記録すること(それ自体はかなり悪い)と、実際にこのデータをキャリアに収集、格納、送信する(これは起こらない)ことには大きな違いがあることを認識する必要があります。 自分でCarrierIQをリバースエンジニアリングした後、彼らが公に主張している以上の情報、つまり匿名化されたメトリックデータを収集しているという証拠を見たことはありません。 「見て、キーを押すと何かをする」と「すべてのキーストロークをキャリアに送信する」との間には大きな違いがあります。 私が見たことに基づいて、データ収集の目的で実際にキーストロークを記録するコードはCarrierIQにありません。 もちろん、これらのイベントにフックがあるという事実は、将来のバージョンがこのタイプの機能を乱用する可能性があることを示唆しており、CIQは説明責任を持ち、このタイプのプライバシー侵害が発生しないように綿密な調査を受ける必要があります。 しかし、これに関する最近のノイズはほとんど根拠がありません。
CIQに動揺する理由はたくさんありますが、不完全な証拠に基づいた結論にジャンプしないでください。
よろしく、
ダン・ローゼンバーグ
それでは、Trevor EckhartのEVOの動作に関するビデオで見られるすべてのものについてはどうでしょうか。 それは明らかにそこにあるので、そのすべてはどうですか? 私たちはセキュリティの研究者ではなく、専門家でもありませんが、エクスプロイトとセキュリティについて毎日読んでいるオタクです。 考えられる最善の方法は、HTCがこれらのイベントを匿名のメトリックデータとしてCarrier IQアプリに送信しながらログに公開したことです。 そのデータがどこにでも送信されるという証拠はまだありません。
このニュースから最も大きなものは、Carrier IQは恐ろしいことであり、私たちの多くは彼らを悪と考えているが、キャリアとOEMが利用可能にするデータを収集するサービスのみを提供することです。 これをもっと透明にする必要があります。決して消えないからです。私たちのネットワークを使わないのが嫌なら、誰もあなたの頭に銃を持っていないでしょう。彼らが正しい方法。 問題で私たちの選択は彼らとお金を使わないことであり、天国はそのアイデアがどれほど人気がないかを私が理解していることを知っています。 しかし、キャリアとメーカーがここでの非難の多くを共有する必要があるように物事はますます見えており、この混乱はすでに収集しているデータを収集する簡単な方法を超えています。
ここで終了したら、「携帯電話でCarrier IQを使用していません」と叫んだ企業がどのようにCarrier IQ以外で同じデータを収集しているのかを調べることができます。シリコンバレーの小さな会社を十字架にかけることに対して全面的に行われました。
出典:Vulnfactory; ペーストビン
