Carrier IQ: Daten "irrtümlich" gesammelt
Dieser Artikel ist älter als ein Jahr!
Mit einem ausführlichen Bericht legt die Analyse-Software-Firma Carrier IQ ihre Sicht der Dinge bezüglich der Schnüffel-Affäre dar, bei der angeblich Tastatureingaben, SMS und E-Mails von Millionen Smartphone-Besitzernin den USA aufgezeichnet wurden. Vor wenigen Wochen hatte der US-Sicherheitsexperte Trevor Eckhart in einem Video gezeigt, dass die Software IQ Agent, die als Analysetool von vielen Geräteherstellern und Mobilfunkbetreibern auf Geräten vorinstalliert wird, dementsprechende Fähigkeiten besitzt.
Die Aufregung nach Eckharts Entdeckung war groß. In den USA wurde eine Sammelklage gegen Apple, HTC, Samsung, Motorola, sowie die Netzbetreiber AT&T, Sprint, T-Mobile USA und Carrier IQ eingereicht. Carrier IQ wies sofort alle Vorwürfe von sich. Kundeninformationen würden weder mitgeschnitten noch weitergeleitet. In der neuen Veröffentlichung geht das Unternehmen tiefer ins Detail und gibt eigene Fehler zu.
Android-Logfile-Übertragung durch Hersteller-Fehler möglich
Zunächst erklärt Carrier IQ die Funktionsweise seiner IQ Agent Software. Diese sammle Daten nach vorgegebenen Parametern, die von Carrier-IQ-Kunden, also Geräteherstellern und Mobilfunkanbietern festgelegt werden. Diese Daten werden auf dem Gerät verschlüsselt gespeichert und üblicherweise einmal pro Tag in einer etwa 200 kB großen Datei an Carrier-IQ-Kunden übertragen. Die regelmäßige, punktuelle und ebenfalls verschlüsselte Datenübertragung kann nur durch einen Sicherheitscode umgangen werden.
Im Video wurde der Aufenthaltsort des Smartphone-Besitzers, Tastatureingaben, SMS und andere Informationen in Android-Logfiles festgehalten. Das konnte laut Carrier IQ nur passieren, weil die Hersteller eine Debugging-Funktion aktiviert ließen, die bei der Herstellung der Geräte-Software verwendet wird. Das Unternehmen weist insofern die Schuld auf Gerätehersteller - im Falle von Eckharts Video auf HTC.
"Irrtümliche" SMS-Aufzeichnung unter "einzigartigen Umständen"
In einem weiteren Bereich gibt Carrier IQ einen Fehler zu. Ein Bug bei der Diagnose von Signalübertragung zwischen Anbieter-Netzwerk und Mobilgerät sammelte angeblich irrtümlich SMS-Nachrichten. Das sei allerdings nur unter "einzigartigen Umständen" möglich gewesen, etwa im Fall, dass eine SMS empfangen wurde, während der Smartphone-Besitzer ein Telefongespräch führte.
MMS, E-Mails, Fotos oder Videos seien aber auf diesem Weg unmöglich dokumentierbar gewesen, so Carrier IQ. Telefonnummern und Web-URLs seien dagegen im üblichen Informations-Sammel-Spektrum vertreten. Die aufgezeichneten Telefonnummern benötigt ein Mobilfunk-Anbieter zur Abrechnung, die Web-URLs sollen zur Verbesserung der Leistung beim mobilen Browsen dienen.
Trevor Eckhardt steht bei Carrier IQ unterdessen offenbar nicht auf der schwarzen Liste. Der Sicherheitsexperte soll sogar bei den Nachforschungen des Unternehmens mitgewirkt haben und wird dafür im Bericht mit Dank bedacht.
Kommentare