Carrier IQ: Nutzen schlägt Risiko

Originalartikel von Kervin Alintanahin, Threat Analyst

Während der vergangenen Woche überschlugen sich im Internet die Kommentare zu den Risiken und Datenschutzfragen im Zusammenhang mit Carrier IQ. Die Anwendung ist anscheinend auf verschiedenen Mobilgeräten vorinstalliert und überwacht die Performance des Netzwerks und des Handsets.

In den Veröffentlichungen ging es um mehrere Problemstellungen rund um die Art der Informationen, die die Software sammelt, um die Tatsache, dass die Anwendung ohne Zustimmung des Nutzers auf den Geräten vorinstalliert ist sowie darum, was Nutzer dagegen tun können.

Den Berichten zufolge speichert Carrier IQ Daten zu gesendeten und erhaltenen Textnachrichten, durchgeführten Suchläufen und in das Gerät eingegebenen Telefonnummern. Der Forscher Trevor Eckhart hatte mit einem von ihm veröffentlichten Video, das die Arbeit mit diesen Logs zeigt, die Diskussion um die Anwendung angestoßen.

Gehört alles zum Service

Die Funktionsweise von Carrier IQ ist durchaus sinnvoll. Die Anwendung ist auf das Monitoring der Leistung des Netzwerks und des Handsets ausgerichtet. Die Performance des Carriers aber lässt sich nur dadurch messen, dass die angebotenen Dienste, also Anrufe, Internetverbindungen, der Textnachrichtendienst und weitere Leistungen, geprüft werden. Dafür ist es erforderlich, die angebotenen Dienste effizient zu überwachen und auch Troubleshooting durchzuführen.

Rik Ferguson, Director Security Research & Communication EMEA, von Trend Micro erklärt zudem, dass die Inhalte in Eckharts Video zu einem guten Teil in dem verbose Debugging-Modus erzeugt wurden und damit die Art der Implementierung von Carrier IQ auf den verschiedenen Geräten nicht korrekt widerspiegeln.

Dem Hersteller zufolge loggt Carrier IQ keine Tastenbewegungen in SMS, sondern erkennt nur Tastendruck-Sequenzen, die als lokale Befehle für die Anwendung agieren, so zum Beispiel „upload diagnostics now”. Zwar überwacht die Software ankommende SMS, doch auch hier geht es um Nachrichten, die vom Carrier kommen und als Befehle für Carrier IQ dienen.

Laut Aussage des Herstellers rangiert die Software nichtrelevantes Material aus, noch bevor es von der lokalen App verarbeitet oder gar vom Carrier hochgeladen wird. Daher könne die Anwendung kein nennenswertes Risiko für den Datenschutz darstellen.

Die öffentliche Reaktion auf das Eckhart-Video zeigt, dass die Leute sich des Ausmaßes der Abhängigkeit der Funktionalität eines Telefons vom Carrier gar nicht bewusst sind. Anscheinend haben die meisten vergessen, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf mit der Weitergabe der Informationen an verschiedene Stellen verbunden ist.

Die Einwilligung des Nutzers ist unumgänglich

Das tatsächliche Problem um Carrier IQ besteht in der Notwendigkeit einer informierten Einwilligung, denn die Anwendung ist vorinstalliert, wird automatisch und vom Nutzer nicht erkennbar ausgeführt. Die Menschen aber wollen ihren Datenschutz berechtigterweise selbst bestimmen.
Carrier IQ ist kein bösartiges Programm, und seine Routinen werden benötigt, doch die Einwilligung des Nutzers zur Installation des Programms und seiner Funktion ist ebenso erforderlich. Anwender sollten immer darüber informiert werden, wenn ihre persönlichen Daten an Dritte weitergeleitet werden, und sie müssen auch die Möglichkeit haben, dies zu verhindern.

Potenzielle Gefahren

Rik Ferguson sieht als größtes Risiko durch Apps wie Carrier IQ die damit für Kriminelle verfügbare „Monokultur“. Sollten sie eine auszubeutende Sicherheitslücke in Carrier IQ finden, so stellt die riesige installierte Basis natürlich ein sehr attraktives Ziel dar. Für Ferguson ist dies das am schwersten wiegende Argument gegen die Implementierung desselben Codes durch mehrere Carriers – ohne dass der Anwender die Möglichkeit bekommt, sich dagegen zu wehren. Hinzu kommen die übertrieben langen Zeitspannen, die Carrier für das Rollout von Updates eingeführt haben, aber auch die verschiedenen Android-Varianten, die das Risiko erhöhen.
Für Nutzer, die wissen wollen, ob Carrier IQ auf ihren Geräten installiert ist, hält Trend Micro hier ein Tool zum Herunterladen bereit.

Ein Gedanke zu „Carrier IQ: Nutzen schlägt Risiko

  1. RobertS

    Nutzer vertrauen oft blind in die von den Herstellern zur Verfügung gestellten Apps. Dabei erfüllen diese oft gar keine erkennbare Funktion für den Nutzer. Angeblich soll die Software die Nutzerdaten anonymisiert sammeln, die dann zur Verbesserung der Netzqualität und Entwicklung neuer Features eingesetzt werden sollen. Dass das in vielen Fällen gegen die Datenschutzbestimmungen verstößt, fällt jetzt immer öfter auf. Sogar Adressbuchdaten werden verwendet. Apple hat deshalb in seine Apps eine techniche Sperre eingebaut, sodass nur noch bei erteilter Erlaubnis Daten übermittelt werden. Bleibt zu hoffen, dass das auch eingehalten wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*