Jolán
0 °C
6 °C

Hallgat az FBI az okostelefonos kémprogrambotrányban

2011.12.14. 11:02

Egyre nagyobb hullámokat vet a Carrier IQ nevű cég által gyártott, sok tízmillió amerikai okostelefonra telepített naplózó program botránya. Az ügy néhány napja pattant ki, amikor egy biztonsági szakember, Trevor Eckhart azt állította, hogy a Carrier IQ olyan okostelefonos alkalmazást terjeszt, ami a felhasználók minden tevékenységét követi és naplózza: rögzíti a leütéseket, nyomon követi az online tevékenységet, logolja a felhasználó tartózkodási helyét, hozzáfér az sms-ek szövegéhez. A kémkedést a gyártó többször is tagadta, mint elmondták, ők diagnosztikai szoftver kínálnak.

Időközben sokan hallatták a hangjukat az ügyben, Eric Schmidt, a Google elnöke is kijelentette, hogy szerinte a program egy nyilvánvaló keylogger, vagyis olyan program, ami ártó szándékkal rögzíti a felhasználó billentyűzetleütéseit. A hónap elején eljárást is indítottak az érintett telefonok gyártói és a szolgáltatók ellen, azzal a váddal, hogy úgy gyűjtenek adatokat a Carrier IQ programjával, hogy azzal megsértik a lehallgatást szabályozó szövetségi törvényt.

Egy újságíró az információszabadságot biztosító törvény alapján kikérte az FBI-tól azokat a dokumentumokat, amelyek feltárják, hogy a szövetségi nyomozóiroda hogyan, mikor, milyen módon használta fel a Carrier IQ által rögzített információkat. Az FBI válasza nem kis háborgást okozott, ugyanis a hivatal kitért a dokumentumkiadás elől, ráadásul egy többféleképp értelmezhető kifogással, a Carrier IQ-ról pedig semmit sem mondtak. A szervezet szerint, ha törvényes keretek között fel is használnak ilyen adatokat, azokról, illetve az érintett eljárásokról nem kötelesek információkat kiadni.

A fejlesztő szerint a programját több mint 150 millió mobil eszközre telepítették fel világszerte. Az úgynevezett IQ Agent olyan adatokat gyűjt, mint az akkumulátor állapota, az eszköz stabilitásáról szóló információk, hálózati lefedettség, a hanghívás minősége, kapcsolati adatok. Ennél jóval több információtípust is képesek monitorozni, de azt mindig a szolgáltatók határozzák meg, hogy mire kíváncsiak.

Különösen érdekes, hogy az sms-ek rögzítését hibának nevezik: mint írják, ezt a funkciót kikapcsolták, ha mégis ilyet tapasztal valaki, az szoftveres hiba. De megnyugtatnak mindenkit, hogy ha mégis megtörténne a rögzítés, az nem olvasható formában történik. Elismerik, hogy a szolgáltatók kérésére, hálózatjavítási, modernizációs célokból rögzíthetik a kimenő és bejövő hívások telefonszámait, illetve a webböngészéskor az URL-eket, de ennél többet nem, így a weboldal tartalmát, jelszavakat sem.

A legsúlyosabb vádra, a billentyűleütés rögzítésére azt mondták, hogy ez sem igaz: Eckhart videóján nem az látszik, hogy az IQ Agent rögzíti az adatokat, hanem egy Androidon futó hibakereső szoftver adatai láthatóak. Ezt a hibakeresőt a forgalomba helyezett készülékeken nem aktiválják, emellett a rögzített logfájlok tartalmát a Carrier IQ egyáltalán nem használja fel. Azt azért elismerik, hogy a titkosítás nélküli adatgyűjtés kockázatos, és ígérik, hogy ezt a problémát a jövőben a gyártókkal és a szolgáltatókkal közösen orvosolják.

Azt is elismerik a későbbiekben, hogy a felhasználó a legtöbbször nem választhat: a szolgáltatók és a gyártók igényelik az adatokat és meg akarják óvni a programot, ezért a Carrier IQ a legtöbb esetben nem törölhető a telefonokról, ahová feltelepítették.

A cég szerint a begyűjtött adatokat a készüléken egy biztonságos átmeneti tárolóban tárolják, olyan formában, amit csak speciális eszközök segítségével lehet elolvasni – feltehetően titkosításra gondoltak, bár ezt nem fejtik ki. A szolgáltatóknak vagy gyártóknak a legtöbb esetben az utolsó 24 óra adatait küldik el, biztonságos kapcsolaton keresztül, általában kis mennyiséget, körülbelül 200 kilobájtnyit. Az elküldött adatok megállapodástól függően vagy a szolgáltató, vagy a Carrier IQ szerverén landolnak, utóbbi esetben a szolgáltató bérli ezt a tárhelyet.