Den senaste tiden har amerikanska Carrier IQ fått utstå hård kritik. Bakgrunden är att ett program från företaget, CIQ, finns i mängder av mobiltelefoner, ett program som hävdats fungera som ett rootkit och en tangenbordsloggare.
De påstådda funktionerna avslöjades för några veckor sedan av Androidutvecklaren Trevor Eckhart som beskrev programmet på sin blogg och i en video på Youtube. Saken fick massiv uppmärksamhet i mängder av medier. Nu visar det sig att reaktionerna kan ha varit överdrivna.
Säkerhetsexperter menar att Youtube-videon inte alls illustrerar vad Eckhart påstår.
– Tolkningen av videon är inte korrekt. Videon illustrerar att Carrier IQ faktiskt reagerar på händelser som tangentbordstryckningar. Trevor drar den förhastade slutsatsen att det betyder att de spelar in tangentbordstryckningarna och skickar dem till operatören. Det skulle vara en grov integritetskränkning. Men det är inte vad som händer, enligt min analys, säger Dan Rosenberg på säkerhetsföretaget Virtual Security Research i Boston.
Rosenberg har disassemblerat, det vill säga analyserat koden, i Carrier IQ:s program. Han fann att det Youtube-videon visar i själva verket är debug-information, alltså information avsedd för utvecklare som med hjälp av utskriften kan hitta fel i källkod. Informationen visas men lagras inte som data, menar Rosenberg.
– De lagrar inte tangentbordstryckningar vid något tillfälle. Och ännu mindre skickar de data tillbaka till operatörer, säger Dan Rosenberg.
Däremot är det en tvivelaktig metod att skriva ut tangentbordstryckningar i debuginformationen, menar Rosenberg.
– Det är inget omedelbart hot, men det är lite som varför du inte skriver ner dina lösenord på lappar, du vill inte att de ska drälla omkring någonstans. Men det är inte samma sak som att logga data och skicka det till operatörer.
Ännu en iakttagelse kring videon har John Graham-Cumming på programföretaget Causata gjort. Han skriver i sin blogg att om det videon antyder är sant vore det oroande. Men ingenstans i videon påstår Eckhart att någon data faktiskt lämnar en telefon. Utifrån videon gör Eckhart inte heller några försök att med exempelvis en sniffer , ett program som analyserar nätverkstrafik, ta reda på om så är fallet.
“Jag förstår inte varför. Det vore en enorm story om miljoner smarttelefoner världen över i hemlighet skickar innehållet i textmeddelanden till ett USA-baserat företag. Men det är inte storyn här, eftersom att ”säkerhetsexperten” inte verkar ha försökt att ta reda på det”, skriver Graham-Cumming i ett blogginlägg.
Carrier IQ hade möjligtvis kunnat undvika skandalen om de på egen hand hade beskrivit vad säkerhetsexperter nu tagit reda på.
Istället skaffade man sig extremt dålig publicitet genom att hota Eckhart med en stämning för att han olovligen hämtat kopieringsskyddad information från Carrier IQ. Stämningsansökan drogs senare tillbaka. Skadan var dock redan skedd.
IDG News
