3.12.11

השערוריה של יישום המעקב של Carrier IQ סקנדל או הייפ?

במקור לא התכוונתי לכתוב על זה פוסט, אבל לאור השטויות שמפרסמים אתרים ישראלים על הסיפור של CarrierIQ החלטתי שכדאי שיהיה פוסט אחד שמספר לכם את הסיפור כהווייתו ובלי ההייפ.

כל הסיפור הזה החל לפני מספר חודשים כאשר התברר ש-HTC מחזיקים יישום שאוסף מידע על הטלפון כולל כל מיני נתונים סטטיסטים ששמורים בלוג של המערכת ( Log cat ).
לאחרונה טרוור אקהארט אחד מחוקרי האבטחה שהריץ תוכנת מעקב על המחשב שלו כדי לראות מה המערכת מנסה לאסוף גילה שיש יישום שחבוי במערכת שיש לו גישה ללוג של המערכת שמצידה אוספת המון נתונים מדאיגים על אילו מקשים אנו מקישים ועוד הרבה מידע.
אלא מה?
טרוור לא בדק מה מתוך המידע שאכן נאסף שודר ברמה המעשית אל הספקיות סלולר ולא רק נאסף בתוך ה- Log cat  של המכשיר.
שלא תבינו אותי לא נכון, עצם איסוף המידע ללא רשות וללא בחירה מעשית שלנו המשתמשים להשתתף באיסוף פסול לגמרי. כנ"ל לגבי להחביא את ההסכמה שלנו לאיסוף בתוך 10 עמודים של תנאי שירות. זה פשוט מביש.
חברות כמו ספרינט, טימובייל ואחרות עשו כאן משהו שלא ייעשה. טוב שיהיה לזה סוף, אין כמו אור ושקיפות כדי לחשוף אמת.
אבל... אל תשלו את עצמכם, אין להם שום עניין באימיילים שלכם ,דברים כמו SMS הם יכולים להקליט מבלי לגשת בכלל למכשיר שלכם, היכן בדיוק עוברים ה-SMS שלכם חשבתם? ולמי יש גישה אליהם? כמובן לספקיות הסלולר.


Carrier IQ החברה שפיתחה את התוכנה (שיושבת בקרנל ולא ניתנת להסרה ללא פריצה של המכשיר) עובדת למעשה עבור הספקיות הסלולריות ולא עבור היצרניות מלבד כמובן אפל שבעצם שולטת במכשיר מכף רגל ועד ראש.
כאשר התברר שנאסף מידע וכאשר התברר שהתוכנה אכן מסוגלת לאסוף איזה מידע שהיא רוצה כולל ססמאות (אפילו שהיא לא) התחילה סערה גדולה בכל העיתונים הטכנולוגים וכולם נכנסו להיסטריה.
כמה חוקרים מאד רציניים כמו דן רוזנברג וג'ו אוברהיידה בדקו עבור CNET על ידי reverse engineering מה בדיוק נאסף לעומת מה באמת נשלח אל הספקיות והם גילו שלמרות שנאסף הרבה מאד מידע על ידי התוכנה מה שמשודר לפחות לבינתיים לספקיות זה רק נתוני שימוש סטטיסטים ללא פרטים אישיים.
כל חברת סלולר חייבת לאסוף נתוני שימוש של הרשת שלה כדי לגלות באילו אזורים יש עומס ובאלו אזורים הקליטה גרועה, אילו טלפונים נכשלים בניסיון לעבוד בדור השלישי וכו' לכן כולם משתמשים באיסוף נתונים סטטיסטים.
רק בגלל שחברות כמו ורייזון לא משתמשות ב- carrierIQ לא אומר שהן לא משתמשות בספק אחר שלא איתרע מזלו להיחשף על ידי אקהארט.

אז על מה הסערה הגדולה?

  •  carrierIQ במקום לשתוק או להודות לאחר החשיפה, הם שלחו מכתבי עורך דין בניסיון להפחיד את אקהארט ורק אחרי שארגון צרכנות נעמד לצידו ונתן לו סיוע משפטי הם הבינו שלא יצליחו לסתום לו את הפה.
  • אף אחד לא אוהב שניתן לרגל עליו, למרות שזה ידוע שממשלות והרבה ארגוני ביון יכולים ליירט כל שיחה וכל שימוש במחשב שרק ירצו. תחשבו רגע. מי יודע עליכם יותר מספק האינטרנט שלכם? יש לו גם את השיוך בין כתובת ה-IP שלכם לשם האמיתי וגם את פרטי הכתובת והאשראי שלכם. ובטלפון ספקי הסלולר הם בעצם ספק האינטרנט שלנו ולכן יכולים לאסוף טונות של מידע עלינו.
  • בזמנים שבהם ארגונים כמו גוגל ופייסבוק אוספים כל טיפת מידע עלינו, נהיינו קצת פרנואידים. איך אמר מישהו שבוע שעבר, "אם אתה לא הלקוח שמשלם אתה כנראה המוצר" כל שירותי החינם שיש באינטרנט חייבים איכשהו להרוויח, אם אתה לא משלם להם אז מישהו אחר משלם להם. אם אתם רוצים לדעת מי אשם תעקבו אחרי הכסף. כיוון שאת החשבון עבור התוכנה של CarrierIQ משלמות ספרינט, AT&T טימובייל ואחרות, וברמה פחותה בהרבה גם אפל (למרות שאפל לפחות מאפשרת לך לבטל את משלוח הנתונים בתוך ה- Settings) אנחנו יודעים מי הנבל בסרט הזה וזה לא היצרניות.

חברות הסלולר תמיד ימשיכו לאסוף נתונים כי הן לא יכולות לתכנן את גידול הרשת שלהן ואת הפריסות של אנטנות סלולריות במאות מליוני דולארים ללא דטה מעשית של קליטה ושיבושים מהמכשירים.
אנחנו צריכים להתעקש שהאיסוף הזה יהיה בהסכמה ואנחנו צריכים שיהיה פיקוח מעשי על מה הם אוספים ומה הם שולחים חזרה, והיצרניות צריכות לוודא את האנונימיות של המידע שנאסף.

אז מה אתה צריך לעשות כדי לדעת מה קורה אצלך?

דבר ראשון ניתן להתקין את התוכנה של lookout מכאן: https://market.android.com/details?id=com.lookout.carrieriqdetector כדי לוודא שלפחות הגרסה של carrierIQ לא מותקנת אצלכם למרות שממש לא ניתן לדעת האם יש תוכנה מיצרן אחר, ועם כל הצער שבזה ממש לא קשה לוודא שלא תוכלו לגלות את זה אם הם ממש יירצו.

דבר שני כמו שקוראים וותיקים שלי יודעים אני ממליץ על רוט למכשיר והתקנה של תוכנה כמו droidwall שמאפשרת לך לקבוע לאיזו תוכנה יש גישה לאינטרנט ולאיזו אין. ברגע שלא תיתנו לקרנל גישה לאינטרנט גם אם יש כזו רוגלה על הטלפון שלכם היא לעולם לא תוכל לשלוח את המידע לשום מקום.

דבר אחרון: לעולם אבל לעולם אל תשתמשו בכל התוכנות של הבנקים בטלפון, כנ"ל לגבי חברות אשראי וכל מידע שאם יהיה אותו לאחרים הם יכולים להסב לכם נזק כבד.
נושא האבטחה בסלולר הוא רק בחיתולים והשליטה שלך על מערכת ההפעלה של הטלפון מאד קטנה לכן לקחת סיכונים עם מידע רגיש זה ממש לא חכם בעיני.

לסיכום: אכן חשוב שהדבר נחשף ואכן חשוב שהם יידעו שהם לא יכולים לאסוף עלינו מידע ללא הסכמתנו המעשית ולא העקיפה (בעצם לחיצה על כפתור שמאשר 100 עמודים של הסכם שירות).
לא! חברות הסלולר לא מנסות לקרוא לכם את האימיילים ולא רוצות לקרוא את האס אם אסים שלכם, אם חברות הסלולר רוצות הן יכולות לשמור אותם כבר במקור מבלי הצורך להאזין למכשיר שלכם.
הן גם יכולות להשתמש בסניפרים כדי להקליט את מרבית התעבורה שלכם שוב ללא צורך בגישה אל המכשיר אז אל תטרידו את עצמכם בדברים שאין לכם שליטה עליהם.
חלק מהשימוש בטכנולוגיה נותן למי ששולט על הטכנולוגיה הרבה כח, זה היה נכון לפני 100 שנה וזה נכון גם היום. כל מה שמשתנה זה רק הצעצוע שבו משתמשים הפעם.

אין תגובות:

פרסום תגובה