Vakoiluskandaali !!! Carrier IQ

Jälleen on paljastunut uusi – tällä kertaa megaluokan – vakoiluskandaali matkapuhelinalalla. Näyttää siltä, että ei mene kuukautta ilman että paljastuu tietoturva- ja/tai yksityisyydensuojan törkeitä häväistyksiä. Tämänkertaisen skandaalin laajuus on vasta paljastumassa eikä syyllisiäkään ole vielä löydetty. Skandaalin keskipisteessä on vaatimattomasti netissä esittäytyvä CarrierIQ -niminen yritys joka kertoo viattomasti tarjoavansa älyratkaisuja laitevalmistajille ja operaattoreille.

Koko skandaali sai alkunsa kun Trevor Eckhart – xda kehittäjä – huomasi, että monista älypuhelimista tuntui löytyvän epäilyttävä ja dokumentoimaton CarrierIQ sovellus, joka toimii puhelimissa taustaprosessina. Echartin paljastus raivostutti CarrierIQ yhtiön joka uhkasi haastaa paljastuksen tehneen koodarin / hakkerin oikeuteen copyright -rikkomuksista. Eckhart huomasi (ja paljasti) että CarrierIQ löytyy useista Samsungin ja HTC:n Android -puhelimista.

CarrierIQ kuitenkin veti aggressiivisen hyökkäyksensä takaisin ja pahoitteli tapahtunutta Eckhartille. Tapaus herätti kuitenkin hakkerit tutkimaan asiaa tarkemmin – ja selvittelemään mistä kaikkialta tämä “vakoiluohjelmaksi” ja “rootkit” -ohjelmaksi nimetty paholainen oikein löytyisi.

Tämä tutkiminen sai aikaan melkoisen lumipalloefektin. Ensin CarrierIQ ohjelman “rippeitä” alkoi löytyä mm. Applen iOS laitteista. Jälkiä on löytynyt aina iOS 3 versiosta lähtien. Applen tapauksessa jatkotutkimukset näyttävät siltä, että CarrierIQ logeja lähetetään vain mikäli käyttäjä sallii ns. diagnostiikan keräämisen iOS laitteista. (Vinkki: Kannattaa muuten tarkistaa omat iOS laitteet.)

Valmistajat ovat pysyneet melko vaitonaisina CarrierIQ sovelluksesta. Tutkimukset ovat osoittaneet, että CarrierIQ rootkitiä ei löydy kaikista Android laitteista, ja esim Google Nexus ja alkuperäinen Xoom -tabletti ovat mitä ilmeisimmin “turvassa” tältä pikku tuholaiselta.

Syyttävä sormi kiertää tällä hetkellä kaikkia laitevalmistajia – mukaan lukien Nokiaa ja RIM:iä. Myös operaattorit ovat vahvan epäilyksen alla. Samsung ja HTC on jo todettu “syyllisiksi” ainakin tiettyjen laitteiden osalta. Nokia ja RIM ovat kuitenkin molemmat rientäneet oikaisemaan ja vastaamaan heihin kohdistettuihin syytöksiin. Molemmat valmistajat vakuuttavat, että he eivät ole asentaneet puhelimiinsa CarrierIQ sovellusta. Tämän hetken tiedon mukaan myöskään Microsoftin Windows Phone 7 -käyttöjärjestelmä ei sisällä CarrierIQ -sovellusta. Amerikkalaisista operaattoreista Verizon on myös ilmoittanut, että sen puhelimissa ei käytetä CarrierIQ sovellusta.

Mielenkiintoista tilanteessa on kuitenkin se, kuinka suurin osa matkapuhelinalasta on tällä hetkellä hiirenhiljaa. Erityisesti operaattorit ovat tällä hetkellä vahvan epäilyksen alla. Nokiankaan ilmoitus ei tarkoita sitä, että sen puhelimissa ei voisi olla CarrierIQ sovellusta – Nokia vain sanoo, että se ei ole puhelimiinsa sovellusta asentanut. Tämä ei luonnollisesti vapauta vastuusta operaattoreita.

Mitä CarrierIQ sitten oikein seuraa? Tarkkaa vastausta tähän ei ole kenelläkään tällä hetkellä. Näyttää siltä, että sovelluksen eri versiot, eri alustoilla kerää eri dataa. Pahimmillaan näyttää siltä, että sovellus kerää käyttäjän kaikki näppäintenpainallukset, tekstiviestit, puhelutiedot, salasanat (näppäinpainallusten kautta) ja ties mitä muuta dataa. Tämä data kerätään puhelimessa pakettiin ja toimitetaan – useissa tapauksissa kertomatta käyttäjälle asiasta – CarrierIQ:n palvelimille – mistä tieto todennäköisesti toimitetaan datan tilaajalle.

Tietoa käyttäjien käyttäytymisestä voi kerätä vilpittömästi ja hyvin aikein. Tällöin asiasta tyypillisesti kerrotaan käyttäjälle ja käyttäjältä pyydetään lupa tiedon keruuseen. Lisäksi käyttäjällä pitää olla mahdollisuus keskeyttää datan keruu. Lisäksi kerääjän pitää kertoa käyttäjälle mitä tietoa se kärää. Näistä asioista on määrätty EU:n alueella tiukka yksityisyydensuojalaki, mikä ei todellakaan salli sitä mitä CarrierIQ tekee. CarrierIQ:n tapauksesta tekee huolestuttavan ja vaarallisen juuri sen salamyhkäisyys.

Tässä vaiheessa on hyvä muistaa, että on täysin mahdollista, että kyse on vakoilusovelluksesta, mitä käytetään vain Yhdysvalloissa – mutta olisin yllättynyt mikäli näitä palveluita ei olis tarjottu kaikille operaattoreille. Ja eiköhän USA:N ulkopuoleltakin löydy operaattoreita jotka ovat ottaneet palvelun käyttöön.

Mielestäni nyt olisi syytä, että myös kotimaiset operaattorit tulisivat esiin ja kertoisivat, mikäli ne käyttävät CarrierIQ -ratkaisua omissa puhelimissaan.

Aiheesta mielenkiintoinen “step by step” postaus TheVerge -blogissa.