Pull to refresh

В США разгорается скандал о незаконном использовании пользовательских данных

Information Security *
Sandbox
Начало детективной истории

Что если наши умные телефоны следят за нами? Оказывается, за действиями пользователя могут следить практически любые телефоны. Это не очередной сюжет фильма про “большого брата”, это наша реальность.
Случайно я наткнулся в сети на интересный топик на xda-developers. Тревор Экхарт (Trevor Eckhart), девелопер, копался в программных кодах Андроид-телефона от HTC и нашел интересную вещь. В прошивке телефона содержалась программа, которая работала в скрытом от пользователя режиме.
Оказывается, компания HTC встраивает в свои устройства программы, которые позволяют собирать разнообразную статистику. Есть такая американская фирма, Carrier IQ (CIQ), которая предоставляет инструменты операторам для сбора и анализа данных с сотовых телефонов абонентов (согласно счетчику на сайте: 141 миллион устройств уже обладают этой опцией). Вот, что написано у них на сайте:

Carrier IQ — лидер рынка мобильных интеллектуальных технологий, который создал революционную технологию, позволяющую мобильным операторам и производителям собирать и обрабатывать информацию от конечных пользователей. Телефон является частью сети и используется в качестве инструмента для измерения ключевых параметров качества сервиса и использования. CIQ предоставляет уникальную возможность анализировать сценарии использования и ошибки по типу, расположению, приложению и сети, одновременно с этим, предоставляя детальные данные, непосредственно с самого устройства, а не общую информацию о состоянии сети.

Разбираемся в вопросе
Звучит заманчиво, не так ли? По словам Тревора Экхарта, он смог получить от этой компании дистрибутив их программы. Она напоминает собой нечто вроде интерактивного опроса для пользователя:

Программа может собирать данные разнообразного характера: уровень сигнала, местоположение аппарата, нажатие клавиш, модель устройства, вообще все, с чем пользователь взаимодействует. (Согласно патенту о сборе данных с беспроводных сетей).

Сбор информации происходит так: есть триггеры (triggers) и есть метрика (metrics). Необходимая информация о телефоне собирается и отправляется тогда, когда был задействован определенный триггер. Судя по описанию на сайте Тревора, количество разнообразных метрик и триггеров огромно. Вот, например, список триггеров для телефонов HTC:

Нажата клавиша на диалере или на клавиатуре:
Intent – com.htc.android.iqagent.action.ui01

Открыто рекламное объявление:
Intent – com.htc.android.iqagent.action.ui15

Получено СМС:
Intent – com.htc.android.iqagent.action.smsnotify

Экран включен/выключен:
Intent – com.htc.android.iqagent.action.ui02

Получен звонок:
Intent – com.htc.android.iqagent.action.ui15

Статистика медиа данных:
Intent – com.htc.android.iqagent.action.mp03

Статистика местоположения:
Intent – com.htc.android.iqagent.action.lc30

Программа состоит из двух частей: первая — встроена в устройство, вторая — сервер, собирающий и анализирующий данные (связанные с сетью: голосовые услуги и данные, не связанные с сетью: музыкальный проигрыватель, камера, различные загруженные данные и прочее). Взято из рекламных материалов
Пользователь со стороны оператора/производителя получает удобный интерфейс для работы с данными (с сайта CIQ):


Все было бы нормально, если пользователь мог добровольно предоставлять данные для анализа, участвовать в опросах. Однако, в реальности все происходит иначе. Производитель оборудования получает исходники программы от CIQ, пишет свой интерфейс и оставляет требуемые функции, скрывая программу от конечного пользователя, включает в состав прошивки устройства (с одобрения оператора). Элементы кода программы были найдены в Sense UI, Touch Wiz. Даже в своем HTC Desire S с прошивкой MIUI я нашел остатки HTC'ного логгера.
Таким образом оператор может собирать любые данные о телефоне и их анализировать, а пользователь даже об этом и не узнает. Тревор классифицировал программу как руткит из-за своей способности скрывать себя от пользователя и при этом нести вред.

К слову сказать, подобное возможно не только на смартфонах, этот код может быть встроен в любые виды телефонов. Блоггер утверждает, что этим сервисом пользуются американские операторы Sprint, Verizon, а руткит установлен на андроид устройствах, Blakberry, Nokia, планшетных компьютерах и прочих. За телефоном можно следить, даже если он никогда не был активирован в сети оператора.

Есть и хорошая новость: владельцы телефонов на Андроид могут скачать программу с форума Xda-developers и проверить свой телефон на наличие руткита, а если есть права root, то и попытатсья удалить его.

История получает неожиданное продолжение
Тревору пришло письмо от Carrier IQ с угрозами начать судебное разбирательство, если он публично не принесет извинения компании и не сообщит всем, что он ошибся в своих выводах.

Дополнительная информация
Оригинал статьи Тревора Экхарта (у него на сайте собрано очень много информации по этому вопросу, в том числе и технической).
Статья на Xda-developers об угрозах со стороны CIQ.
CIQ опубликовали пресс-релиз, где опровергают слова девелопера.

UPD. Добавляю еще ссылку на Xda, здесь описана выжимка информации из блога девелопера (спасибо ilyuxa).

UPD2. Ответ EFF на притязания CIQ. EFF — Electronic Frontier Organization, занимается защитой прав потребителей в цифровой сфере, они взяли на себя защиту прав Тревора. Кратко: притазания CIQ беспочвенны. (спасибо Joes).

UPD3. Юридический «наезд» кончился. Вести с полей принес Joes. CIQ уведомило об отзыве своих претензий и уважает EFF за готовность защищать свободу слова :)
Однако главный вопрос остается все еще в силе.
Tags:
Hubs:
Total votes 126: ↑122 and ↓4 +118
Views 6.1K
Comments Comments 95