Mladý americký vývojář a bezpečnostní expert Trevor Eckhart objevil závažnou bezpečnostní chybu, která se týká desítek milionů mobilních telefonů. Situace je o to složitější, že zatím není jasné, jak přesně určit, které mobilní telefony jsou postiženy.
Problém se týká především mobilních telefonů s operačním systémem Android, ale Podle Eckharta i řady dalších přístrojů, údajně včetně telefonů BlackBerry, Nokia a mnoha dalších. Obě firmy se ale brání, že se jich problém netýká. Základem celého problému je software společnosti Carrier IQ, který výrobci do svých telefonů často standardně zabudovávají.
Obyčejný, ale nebezpečný keylogger
Tento software je určen k tomu, aby sledoval technické parametry telefonu za chodu a byl schopen výrobcům a mobilním operátorům podávat informace o tom, jak uživatelé své telefony vytěžují a jak s nimi zacházejí, jak například dochází k různým pádům aplikací nebo telefonních spojení a podobně. Všechna tato data mají sloužit k tomu, aby výrobci i operátoři mohli své produkty vylepšovat.
Software je zabudován hluboko v operačních systémech telefonů a uživatel se o jeho existenci vůbec nedozví. Program nelze vypnout, spouští se automaticky při startu telefonu a svou činnost včetně posílání informací provádí i ve chvíli, kdy je připojen pouze přes wi-fi a nemá přístup do sítě operátora.
Jak ale zjistil Eckhart, software nedělá jen to, co by měl. Jím zveřejněné video (17 minut) ukazuje, že software Carrier IQ zaznamenává a operátorům a výrobcům odesílá informaci prakticky o všem, co uživatel se svým mobilem dělá.
Zaznamenán je každý dotyk prstu na obrazovce nebo klávesnici, operátor či výrobce telefonu tak ví nejen o každé aplikaci, kterou uživatel spustil, ale dozví se dokonce i to, jaké webové stránky otevíral, co vyhledával na internetu, a software prozradí i kompletní text odesílaných SMS nebo e-mailů.
Nasbíraná data software z telefonu odesílá na servery společnosti Carrier IQ nebo přímo mobilním operátorům. Podle Eckharta je Carrier IQ prachsprostý keylogger, který jednoduše zaznamenává opravdu veškerou aktivitu. A to pochopitelně i ve chvílích, kdy si uživatel myslí, že je v bezpečí. K zaznamenávání dochází i na zabezpečených stránkách nebo při šifrované komunikaci.
Firma sledování odmítá
Společnost Carrier IQ chtěla na Eckharta podat žalobu pro poškozování dobrého jména, nakonec si to ale pod tlakem organizace Electronic Frontier Foundation rozmyslela. V oficiálním prohlášení na svých webových stránkách firma odmítá, že by software jakkoli uživatele sledoval, a prý rozhodně nezaznamenává stisky jednotlivých tlačítek na klávesnici.
Jenže nejen Eckhartovy pokusy usvědčují aplikaci z naprostého opaku. Společnost argumentuje tím, že i když software jednotlivé stisky kláves registruje, nezaznamenává je a neodesílá pryč z telefonu.
Bohužel, jak přesně software funguje, se uživatelé nedozvědí a firma to zatím ani veřejnosti nevysvětila. To samozřejmě nevzbuzuje důvěru. Zatím vyšlo najevo, že o tom, co telefon prostřednictvím programu nahrává a odesílá, rozhodují klienti společnosti Carrier IQ. Tedy samotní výrobci a operátoři. Problematiku začal vyšetřovat americký senát.
Přístroje, které by neměly mít software Carrier IQU operátorských telefonů platí jen pro brandované varianty
|
Carrier IQ má na svých stránkách počítadlo, které ukazuje počet telefonů s jejím softwarem. V době propuknutí skandálu to bylo přes 140 milionů mobilních telefonů. Podle vyjádření společnosti Carrier IQ jak smartphonů tak obyčejných mobilů. Firma uvádí mezi svými partnery výrobce HTC, Apple, Samsung, Nokii, RIM a operátory Sprint, Verizon Wireless a pravděpodobně i mnoho dalších.
Řada ze zmíněných firem se ale od spolupráce s Carrier IQ distancovala, a proto můžeme jen těžko určit, ve kterých telefonech se podivný software nachází a ve kterých nikoli. Většina výrobců a operátorů jenom mlží a vydává poměrně nejasná prohlášení.
Někdo se přiznal, někdo mlží
Například americký operátor Sprint přiznává používání softwaru, ale odmítá, že by sledoval obsah SMS a dalších důvěrných dat na mobilním telefonu. Stejně se vyjadřuje americký operátor AT&T.
HTC, na jehož telefonu byl software původně objeven, dokonce ve svém prohlášení o Carrier IQ vůbec nehovoří. "HTC má stejně jako většina ostatních výrobců do svých telefonů zabudovánu možnost hlášení chyb, kterou musí uživatelé povolit. Pokud se na vašem telefonu objeví chyba, máte možnost odeslat firmě o této chybě hlášení," tvrdí firma ve svém prohlášení.
To je sice pravdivé, ale o Carrier IQ a jeho případné automatické funkci nic neříká. Teprve v dalším prohlášení hází vinu na operátory: "Carrier IQ vyžadují na zařízeních američtí operátoři, proto by se uživatelé a média měli obracet s dotazy na ně. Dovolujeme si upozornit na to, že společnost HTC není zákazníkem Carrier IQ a žádná data z aplikace, od operátorů nebo od samotné společnosti Carrier IQ nedostává," uvádí HTC. Firma prý navíc hledá cestu, jak dát uživatelům možnost tuto funkci vypnout.
Operátor Verizon prohlásil, že na žádném z jeho telefonů software Carrier IQ není. To samé tvrdí Telefónica O2 v globálním měřítku. Například britský T-Mobile uvedl, že software nikdy pro své účely nepoužíval (podobně jako HTC), což ale samozřejmě nemusí znamenat, že v telefonech z jeho nabídky se software neobjevuje. Podobně například společnost RIM, výrobce telefonů BlackBerry, tvrdí, že ani ona nikdy služby společnosti Carrier IQ nevyužívala a že ani operátorům používání takového softwaru nedovoluje. Což opět ale stoprocentně nevyvrací možnost, že by se Carrier IQ v některém z telefonů RIM přeci jenom mohl nacházet.
Rovněž Nokia se brání, že ve svých telefonech Carrier IQ nepoužívá. Microsoft potvrdil, že Carrier IQ rozhodně není součástí Windows Phone 7, a tudíž že tento sledovací software není přítomen na žádném Windows telefonu. Google zase prý rozhodně nedává Carrier IQ do svých telefonů Nexus.
iPhone je tentokrát z obliga
Bezpečnostní experti objevili stopy softwaru Carrier IQ i v iOS od Apple. Podle všeho je ale software standardně vypnut a aktivuje se pouze po ručním spuštění diagnostického módu. I v něm software podle všeho zaznamenává a odesílá pouze technická data. Apple navíc tvrdí, že ve většině zařízení s iOS5 už software Apple nepodporuje a že jej firma zcela z přístrojů odstraní v některém z příštích softwarových updatů.
Nejasnosti kolem Carrier IQ nadále přetrvávají. Zatím se zdá, že většina telefonů s tímto programem je provozována v sítích amerických mobilních operátorů, o rozšíření softwaru v Evropě toho víme pramálo. Uživatelé si tím, zda na jejich telefonu Carrier IQ je, či není, nemohou být jisti. Pokud totiž software do telefonu nedal výrobce, mohl ho tam nechat dát operátor. Navíc v různých přístrojích může software zaznamenávat různé údaje.
Obrana neexistuje
Každopádně celá kauza bude ještě dlouho ostře sledována. Jistě budou padat žaloby a nezůstane jen u vyšetřování americkým senátem. Postupně se také jistě budou objevovat informace o tom, v jakých přístrojích a jakým způsobem konkrétně vlastně software Carrier IQ funguje.
Výrobci také pravděpodobně začnou ze svých telefonů software stahovat nebo budou měnit jeho funkčnost. Sami uživatelé to udělat nemohou. Pomocí programu, který Eckhart zveřejnil, mohou přítomnost Carrier IQ na svém zařízení zjistit pouze uživatelé rootnutých androidích přístrojů. S placenou verzí se mohou pokusit i o odebrání programu, což nemusí stoprocentně fungovat.
Nově lze program Carrier IQ odhalit pomocí aplikace Voodoo Carrier IQ, kterou najdete v Android Marketu. Detekce není úplně spolehlivá a program je stále ve vývoji, ledacos ale může naznačit. Objevují se i další aplikace, ale ani jejich spolehlivost nebude stoprocentní.
Zjistit tedy Carrier IQ lze, ale jeho odstranění je podstatně složitější. Pro technicky zdatné uživatele je zatím jedinou cestou k odstranění použití některé z neoficiálních ROM, například oblíbené CyanogenMod. Rozhodně to ale není řešení, které můžeme doporučit běžným uživatelům.
