Velký bratr operátor vás opravdu sleduje?

V uplynulém týdnu se media se postarala o řádnou paniku, když se poprvé objevily informace o softwaru firmy Carrier IQ (CIQ), který nechali operátoři nainstalovat do svých brandovaných telefonů. Software má za úkol na servery (pravděpodobně CIQ) odesílat informace, které se mu podaří z telefonu a jeho používání uživatelem získat*. Běží na systémové úrovni a prakticky nejde z telefonu odstranit. Postižené telefony se prý objevily zatím jen v USA v přibližně 130 milionech instancích. Pravděpodobně se to netýká jen telefonů s Androidem, ale podobný software byl nalezen i v iPhonu, Nokiích (n97–1) nebo BlackNerry (9530). U produktů Apple prý není aktivní, čemuž by se dalo věřit, protože Apple má možnosti jak dostat z jeho výrobků téměř cokoli a jeho smlouvy s operátory mu určitě otevírají možnosti do široka. Androidí telefony budou s CIQ žít, dokud se o to nepostará sám uživatel. CIQ se s největší pravděpodobností vyhnulo všem Nexus One/S a Galaxy Nexus ať už pochází odkudkoli.

Co to umí

Ale vraťme se k CIQ softwaru na Androidech, u kterých byl jako první objeven a tak někteří uživatelé začali prohlašovat, jak je Android nebezpečný a XX je ten nejlepší a nejbezpečnější systém pro telefony. Velmi dobrý článek na toto téma se objevil na geek.com, který vychází přímo z práce bezpečnostního experta Trevora Eckharta. Ten software od CIQ v telefonu našel a začal ho zkoumat. Později ho označil za rootkit.

Jde o software, který si hlídá, co uživatel dělá nebo kde se nachází, a tyto informace odesílá na různé servery. Zákazník (operátor) pak má k těmto údajům přístup přes webové rozhraní. CIQ software je používán například následujícími firmami:

• Verizon Wireless
• AT&T
• Sprint

Všichni tři jsou mobilními operátory v USA.

Část funkčnosti CIQ softwaru jsou androidí intenty. Když se v telefonu něco stane, kliknete například v menu na ikonku prohlížeče, vyvolá se tím tzv. intenta. Nese s sebou informace o tom, že uživatel chce spustit prohlížeč, a když se intenta dostane do správných rukou, tak současné okno na displeji telefonu (aktivita) se uspí a spustí se prohlížeč. Intenty jsou v systému jako letící zprávy, a tak se jich může chytit i někdo jiný.

Trevoru Eckhartovi se podařilo identifikovat zatím několik intent, na které CIQ software reaguje:

• Zmáčknutí klávesy v HTCDialer (pouze HTC) nebo hardwarové klávesy – com.htc.andro­id.iqagent.ac­tion.ui01
• Otevření aplikace – com.htc.andro­id.iqagent.ac­tion.ui15
• Přijetí SMS – com.htc.andro­id.iqagent.ac­tion.smsnotify
• Zapnutí/vypnutí displeje – com.htc.andro­id.iqagent.ac­tion.ui02
• Příchozí hovor – com.htc.andro­id.iqagent.ac­tion.ui15
• Statistiky médií – com.htc.andro­id.iqagent.ac­tion.mp03
• Statistiky polohy – com.htc.andro­id.iqagent.ac­tion.lc30

Jde o intenty, které mohou být použity (nebo také nemusí) pro sbírání dat. Bylo dokázáno, že CIQ posílá na své servery i další data a dokonce nešifrovanou formou. Na videu s praktickou ukázkou můžete vidět, co všechno se zatím o CIQ softwaru podařilo zjistit. Změny nastavení bluetooth nebo zvukových profilů jsou už jen třešničkou na dortu.

Je to opravdu zásah do soukromí?

CIQ svoje snahy nějak neschovává, prostě o nich jen operátoři ani CIQ nemluví. Software od CIQ byl v telefonu vcelku jednoduše odhalen pomocí utilitky adb. Svoji činnost totiž v logu nějak neskrývá. Operační systém jako takový, má úplně stejné možnosti jako CIQ a je schopen sbírat o uživatelích data i mnohem nenápadněji. Uživatelé by se neměli na telefon dívat jako na bezpečnou černou krabičku, která je jejich a nějak jim neublíží. S hardwarem kupují i software a software si může dělat prakticky, co chce. Pokud vás tedy nějak rozhodilo, že CIQ o vás může (pravděpodobně to nedělá) sbírat informace, asi jen nemáte dostatek fantazie, abyste si uvědomili, jak jednoduše je lze o vás získat, a nemusí to být vůbec takto okatým způsobem.

Operátoři zvolený postup hájí tím, že se snaží zvýšit kvalitu služeb. CIQ k tomu bohužel používá brutální techniky, díky kterým má přístup ke všemu, a tak to vzbuzuje pochybnosti. Je vcelku nemyslitelné, že budou data zneužita proti jednotlivci. Před telefonem může stát kdokoli a prakticky není možné bez dat od operátora zjistit, čí telefon je. Operátorům se od CIQ dostanou jen data, kde se jako identifikátor použije IMEI nebo jiné podobné číslo. Operátor jako takový nezjistí nic důvěrného, co by nevěděl, a pokud data použije dobře, opravdu by mu mohla pomoci vylepšit jeho služby. Ona taková informace o tom, že na místě A se pohybovalo 1500 lidí a z 2000 hovorů jich 180 vypadlo, protože měl telefon značky B špatný signál, není vůbec k zahození.

V celé kauze vidím dva problémy. Tím prvním je, že se celá věc držela v pozadí a nedávala se uživatelům na oči. Druhým problémem je, že uživatel nemůže říct „já už nechci být pokusným králíkem“. Zde měli operátoři možnost zvolit úplně jiný přístup, zvlášť když si někteří lidé instalují špehovací aplikace i zadarmo. Bylo by to marketingově mnohem příjemnější než odhalení špehovacího softwaru v jejich telefonech.

I když v CIQ nevidím pro běžné uživatele jiné nebezpeční, než ve využívání jejich datového tarifu a nižší výdrži na baterie, firemní zákazníci to určitě vidí jinak a takto opatchované telefony prakticky nelze ve firemním prostředí použít. To je jen umocněno informací, že CIQ si nedělá servítky s tím, co odesílá za informace. Nejtvrdším kalibrem pak je odesílání celé URL adresy z HTTPS spojení nešifrovanou formou. Zde by opět vše vyřešila možnost CIQ z telefonu na požádání odstranit a ještě líp, kdyby se telefon při prvním spuštění zeptal, zda chci pomoci operátorovi ve vylepšování jeho služeb.

Můžu se toho zbavit?

Pokud máte telefon určený pro náš trh, tak CIQ v něm nenajdete. Může tam být jiný podobný software od jiné firmy, ale ten teď není středem zájmu. Nejste-li si jisti původem svého telefonu, zkuste aplikaci Voodoo Carrier IQ detector, ta by měla software od CIQ bez problémů najít. Aplikace je jednoduchá a test můžete provést i sami ověřením existence některého z následujících souborů:

• /system/app/HTCI­QAgent.apk
• /system/app/IQ­RD.apk
• /system/bin/htcipcd
• /system/bin/iqfd
• /system/bin/iqd
• /system/lib/lib­ciq_client.so
• /system/lib/lib­ciq_htc.so
• /system/lib/lib­htciqagent.so
• /system/etc/iq­profile.pro

S odstraněním budete mít víc práce. CIQ svůj software zakořenilo v celém systému, takže pouhé odstranění souborů povede spíše k poškození vašeho androida. Nejspolehlivější postup je tedy získat oprávnění roota, nainstalovat custom recovery a najít si nějakou komunitní ROM. Vzhledem k okolnostem začalo mnoho vývojářů uvolňovat své ROMky s označením NoCIQ. Pokud nechcete použít jinou ROM, druhou možností je zjistit s čím CIQ software komunikuje a použít firewall.

Shrnutí

Celá kauza bude mít ještě pokračování a napadení Trevora Eckhartona firmou Carrier IQ za označení jejich softwaru jako rootkit byla jen taková první kapka. I když to na první pohled nemusí být zřejmé, Carrier IQ zde figuruje jen jako dodavatel, a tak většina zodpovědnosti padne na operátory. Například Sprint má v tomto ohledu nepřesně napsanou smlouvu, tak je klidně možné, že se bude muset brzo bránit u soudu. Fakt, že jsou někam ven odesílány i jinak šifrované informace, dělá z opatchovaných telefonů nástroje nevhodné pro jakoukoli solidní práci.