Egyre nagyobb hullámokat vet a Carrier IQ nevű cég által gyártott szoftver, a sok tízmillió amerikai okostelefonra telepített naplózó program botránya. Ahogy az IT café is többször beszámolt róla, egy biztonsági szakember, Trevor Eckhart azt állította, hogy a Carrier IQ olyan okostelefonos alkalmazást terjeszt, mely a felhasználók minden tevékenységét követi és naplózza: rögzíti a leütéseket, nyomon követi az online tevékenységet, logolja a felhasználó tartózkodási helyét, hozzáfér az sms-ek szövegéhez stb. A kémkedést a gyártó többször is tagadta, mint elmondták, diagnosztikai szoftver kínálnak: „…a szoftver abban segíti a szolgáltatókat és a gyártókat a mobil eszközökön az operatív információk gyűjtésével és számontartásával, hogy ügyfeleiknek magas minőségű szolgáltatásokat és termékeket nyújthassanak.”

Eric Schmidt keyloggerezik, az FBI hallgat

Időközben sokan hallatták a hangjukat az ügyben, még Eric Schmidt, a Google elnöke is kijelentette, hogy szerinte az említett program egy nyilvánvaló keylogger, vagyis olyan program, amelyik ártó szándékkal rögzíti a felhasználó billentyűzetleütéseit. A hónap elején egy eljárást is indítottak az érintett telefonok gyártói és a szolgáltatók ellen, melynek tárgya, hogy a bevádoltak úgy gyűjtenek adatokat a Carrier IQ programjával, hogy azzal megsértik a lehallgatást szabályozó szövetségi törvényt. Emellett egy újságíró az információszabadságot biztosító törvény alapján kikérte az FBI-tól azokat a dokumentumokat, melyek feltárják, hogy a Szövetségi Nyomozóiroda hogyan, mikor, milyen módon használta fel a Carrier IQ által rögzített információkat. Az FBI válasza nem kis háborgást okozott sokak körében, ugyanis a hivatal kitért a dokumentumkiadás elől, ráadásul egy többféleképp értelmezhető kifogással, a Carrier IQ-ról pedig semmit sem mondtak: a szervezet szerint, ha törvényes keretek között fel is használnak ilyen adatokat, azokról, illetve az érintett eljárásokról ilyen módon nem kötelesek információkat kiadni.

Az indulatokat lecsillapítandó a Carrier IQ is kiadott kedden egy hosszabb tájékoztatót, ahol részletesen leírják, hogy mi is a célja az általuk gyártott szoftvernek, és hogyan működik, mire jó.

Akadnak turpisságok

Ezek szerint a mobildiagnosztikával foglalkozó cég programját több mint 150 millió mobil eszközre telepítették már fel világszerte. Az úgynevezett IQ Agent olyan adatokat gyűjt, mint például az akkumulátor állapota, az eszköz stabilitásáról szóló információk, hálózati lefedettség, a hanghívás minősége, kapcsolati adatok. Fontos, hogy elmondják: ennél jóval több információtípust is képesek monitorozni, de azt mindig a szolgáltatók határozzák meg, hogy mire is kíváncsiak.

Különösen érdekes, hogy az sms-ek bizonyított rögzítését hibának nevezik: mint írják, ezt a funkciót kikapcsolták, ha mégis ilyet tapasztaltak, az szoftveres bug. De megnyugtatnak mindenkit, hogy ha mégis megtörténne a rögzítés, az nem olvasható formában történik. Elismerik, hogy a szolgáltatók kérésére, hálózatjavítási, modernizációs célokból rögzíthetik a kimenő és bejövő hívások telefonszámait, illetve a webes böngészéskor az URL-eket, de ennél többet nem, így a weboldal tartalmát, jelszavakat stb. sem.

A legsúlyosabb vádra, a billentyűleütés rögzítésére azt mondták, hogy ez sem igaz: Eckhart videóján nem az látszik, hogy az IQ Agent rögzíti az adatokat, hanem ott egy, az Androidon futó hibakereső szoftver adatai láthatóak. Ezt a hibakeresőt a forgalomba helyezett készülékeken nem aktiválják, emellett a plain textben rögzített logfájlok tartalmát a Carrier IQ egyáltalán nem használja fel. Azt azért elismerik, hogy a titkosítás nélküli adatgyűjtés kockázatos, és ígérik, hogy ezt a problémát a jövőben a gyártókkal és a szolgáltatókkal közösen orvosolják.

Azt is elismerik a későbbiekben, hogy a felhasználó a legtöbbször nem választhat: a szolgáltatók és a gyártók igényelik az adatokat és meg akarják óvni a programot, ezért a Carrier IQ a legtöbb esetben nem törölhető azokról a telefonokról, ahová feltelepítették.

A cég szerint a begyűjtött adatokat a készüléken egy „biztonságos átmeneti tárolóban” tárolják, olyan formában, melyet „csak speciális eszközök segítségével lehet elolvasni” – feltehetően titkosításra gondoltak, bár ezt nem fejtik ki. A szolgáltatóknak vagy gyártóknak a legtöbb esetben az utolsó 24 óra adatait küldik el, biztonságos kapcsolaton keresztül, általában kis mennyiséget, körülbelül 200 kilobájtnyit. Az elküldött adatok megállapodástól függően vagy a szolgáltató, vagy a Carrier IQ szerverén landolnak, ez utóbbi esetben a szolgáltató bérli ezt a tárhelyet.