El hacker de Android y el consultor de seguridad profesional Dan Rosenberg (puede que lo conozca como djrbliss de Internets) ha completado su propio estudio sobre Carrier IQ y ha encontrado algunos resultados interesantes. Parece que todos los informes sobre el registro de pulsaciones de teclas y el espionaje de mensajes SMS han sido atribuidos a la parte equivocada, ya que su investigación muestra que Carrier IQ tal como está escrito solo puede capturar los datos que el operador le envía (conocidos como métricas), e incluso entonces todavía tiene que consultar un perfil (piense en ello como una página de configuración para cualquier aplicación) que un operador ha hecho que CIQ escriba específicamente para su instalación. En sus propias palabras:
Querido internet, CarrierIQ hace muchas cosas malas. Es un riesgo potencial para la privacidad del usuario, y los usuarios deberían poder optar por no participar.
Pero las personas deben reconocer que hay una gran diferencia entre grabar eventos como pulsaciones de teclas y URL HTTPS en un búfer de depuración (que es bastante malo en sí mismo), y en realidad recopilar, almacenar y transmitir estos datos a los operadores (lo que no sucede). Después de la ingeniería inversa CarrierIQ yo mismo, no he visto evidencia de que estén recolectando nada más de lo que han afirmado públicamente: datos de métricas anonimizados. Hay una gran diferencia entre "mira, hace algo cuando presiono una tecla" y "está enviando todas mis pulsaciones de teclas al operador". Según lo que he visto, no hay código en CarrierIQ que realmente grabe las pulsaciones de teclas para la recopilación de datos. Por supuesto, el hecho de que haya ganchos en estos eventos sugiere que las versiones futuras pueden abusar de este tipo de funcionalidad, y que CIQ debe rendir cuentas y estar bajo un escrutinio cercano para que este tipo de invasión de la privacidad no ocurra. Pero todo el ruido reciente sobre esto es mayormente infundado.
Hay muchas razones para estar molesto por el CIQ, pero no salte a conclusiones basadas en evidencia incompleta.
Saludos,
Dan Rosenberg
Entonces, ¿qué pasa con todas las cosas que vemos en el video de Trevor Eckhart del EVO en acción? Obviamente está ahí, entonces, ¿qué pasa con todo eso? No somos investigadores de seguridad, profesionales o de otro tipo, pero somos nerds que leen sobre exploits y seguridad todos los días. Lo mejor que podemos imaginar es que HTC ha expuesto esos eventos al registro al enviarlos como datos métricos anónimos a la aplicación Carrier IQ. Todavía no hay evidencia, y nunca lo fue, de que ninguno de esos datos se envíe a ninguna parte.
Lo más importante de esta noticia es que, si bien Carrier IQ da miedo, y muchos de nosotros los consideramos malvados, solo brindan un servicio para recopilar datos que los operadores y los OEM ponen a disposición. Esto debe hacerse más transparente, porque nunca va a desaparecer; si no te gusta, no uses nuestra red, es probable que nadie te apunte a la cabeza con la postura del operador sobre el tema, y en de alguna manera tienen razón. Nuestra elección en este asunto es no gastar nuestro dinero con ellos, y Dios sabe que entiendo cuán impopular es esa idea de primera mano. Pero las cosas se parecen cada vez más a que los operadores y fabricantes necesitan compartir una buena parte de la culpa aquí, y todo este desastre se debe a una forma fácil de recopilar datos que ya han estado recopilando.
Cuando terminemos aquí, podemos comenzar a ver cómo las compañías que se apresuraron a gritar "No usamos Carrier IQ en nuestros teléfonos" están recopilando los mismos datos con algo que no sea Carrier IQ, por lo que podemos estar seguros de que los cambios son hecho en todos los ámbitos frente a crucificar una pequeña empresa en Silicon Valley.
Fuente: Vulnfactory; Pastebin
