728x80
Android

Carrier IQ verursacht Empörung und ruft Datenschützer auf den Plan

0
  • Überblick
  • Videos
  • Bilder
  • News
  • Kaufoptionen


Carrier IQ – Was steckt wirklich dahinter?

Eigentlich sollte ja alles zum Nutzen der Endverbraucher sein. Die Mobilfunkanbieter sammeln seit Jahren mittels Software von Carrier IQ Daten, die Auskunft geben sollen über Rufunterbrüche in ihrem Netz, mangelnden Kundenservice oder Akkuprobleme, welche durch installierte Apps verursacht werden können. Klingt eigentlich ganz gut, oder? Wie sich aber unlängst herausgestellt hat, ist das nicht die ganze Geschichte.

Carrier IQ (CIQ)- ein im Jahre 2005 gegründetes, in Kalifornien ansässiges Software-Unternehmen – ermöglicht die gleichnamige Software die Fernüberwachung von Mobiltelefonen und liefert die Daten an Mobilfunkbetreiber. Die Software wurde während der letzten sechs Jahre vornehmlich in den USA auf über 141 Mio. Geräte gespielt.  Was als gute Sache gedacht war, hat neuerdings aber zu Empörung geführt; Empörung darüber, was die Software an Daten erfassen kann und was an CIQ weitergeleitet wird. Teil dieser Empörung ist auch die Tatsache, dass diese Daten selbst dann gesammelt werden, wenn das Gerät nicht mit dem Netz verbunden ist, und beim nächsten Netzzugriff übermittelt werden.

Android-Sicherheitsforscher Trevor Eckhardt demonstrierte eindrücklich in einem YouTube-Video, welche Daten CarrierIQ sammelt. Er zeigt darin mittels eines LogCat-Tools, welche Daten auf seinem HTC Evo 3D von CIQ aufgezeichnet werden.  Dies geht soweit, dass das Anwählen der Tasten erfasst wird und damit auch gewählte Rufnummern, eingegebene URLs – auch die von sicheren HTTPS-Verbindungen, welche sensible Daten wie Passwörter und Kontoinformationen enthalten können. Auch der Inhalt von SMS-Nachrichten und welche Apps in Verwendung sind, wurde genauestens protokolliert, war in Klartext sichtbar und nicht etwa verschlüsselt, wie es eigentlich sein sollte.

Verantwortungsschieberei

Was Eckhart und durch dessen Aufdeckung auch andere Nutzer wohl aber am meisten empörte,  war die fehlende Kontrolle seitens des Endnutzers darüber, ob er dieser Datensammelei zustimmen möchte oder nicht. Er kann dies weder durch eine Abwahl-Möglichkeit (Opt-Out, wie beispielsweise die Google-Standortfreigabe auf Android-Geräten) noch durch eine eigentliche Einverständniserklärung zum Sammeln der Daten (Opt-In) kontrollieren. Letztere Möglichkeit wäre die fairste. Weiter fehlt auch die Möglichkeit, CIQ durch Deinstallation aus dem Gerät zu entfernen. Es sei unmöglich für den Durchschnittsnutzer, CIQ abzuschalten, geschweige denn zu entfernen, weil die Software so tief im Betriebssystem implementiert sei, erklärte Eckhart. Auf seiner Website gibt Eckhart  ausserdem weitere, sehr detaillierte Informationen zu CIQ

Die Firma CIQ indes betont, dass sie lediglich den Mobilfunkanbietern eine Möglichkeit bieten will, ihren Service zu verbessern und auszubauen, und weist darauf hin, keine abschliessende Kontrolle über die Daten zu haben, die sie für Mobilfunkanbieter sammelt, und schiebt damit die Verantwortung auf die Betreiber ab. Die von CIQ gesammelten Daten werden zwar über einen verschlüsselten Kanal gesendet und innerhalb der Netzwerke ihrer Kunden oder in CIQ-eigenen überprüften und durch die Kunden abgenommenen Einrichtungen gesichert und zur Verfügung gestellt, CIQ selbst aber sieht sich dabei nur als Vermittler für die Betreiber.

Was aber zu denken gibt, ist die Tatsache, dass CIQ eigentlich zwei verschiedene Varianten zum Sammeln der Daten anbietet. Dies offenbarte CIQ-Vizepräsident Andrew Coward gegenüber Sean Hollister und Dieter Bohn vom Online- Newsportal The Verge in einem Interview. Eine Variante (die unproblematischere) liefert den Mobilfunkanbietern nur anonyme Netzdaten über Rufunterbrüche und dergleichen. Damit soll Netzbetreibern geholfen werden, Empfangsprobleme zu eruieren und zu beheben. Die andere Variante aber kann zusammen mit den vom Mobilfunkanbieter selbst gesammelten Daten einen Nutzer eindeutig identifizieren, so dass der Anbieter individuell Performanzprobleme des Gerätes und Probleme der Akkulaufzeit beheben kann (beispielsweise durch die Auskunft, welche Apps der Nutzer deinstallieren soll). Die erste Software-Variante ist direkt im Betriebssystem eingebaut, während die zweite eher eine Zusatzlösung ist, welche durch den Gerätehersteller oder den Mobilfunkanbieter installiert werden kann. Nur diese Zusatzlösung hat für Aufregung gesorgt und wird momentan einer genauen Überprüfung durch Datenschutzbeauftragte unterzogen.

CIQ schweigt darüber, auf welchen Geräten die Software installiert ist und mit welchen Herstellern und Mobilfunkanbietern Verträge bestehen, und wehrt sich gegen Vorwürfe und schiebt die Verantwortung für Datenlecks, für den Datenschutz ausserhalb ihrer Gefilde und die technische Implementierung ihren ungenannten Partnern zu. Die Firma sei nicht die Quelle der unsicheren Datenprotokolle, die auf HTC-Geräten gefunden wurden. Auch wenn die Daten vorderhand bei CIQ sicher aufbewahrt werden, besteht dennoch genügend Gelegenheit für Malware, an die Daten zu gelangen. Deshalb ist eine genaue Überprüfung notwendig, wie die Software auf den verschiedenen Geräten implementiert ist.

Das betrifft doch nur die Amerikaner, richtig?

Zum grössten Teil betrifft dies tatsächlich nur amerikanische Mobilfunkkunden, vor allem die der grössten Anbieter AT&T, Sprint und T-Mobile. CIQ hat aber bereits in 2009 seine Fühler auch nach Europa ausgestreckt. Wie ComputerworldUK.com berichtet, wird CIQ durch verschiedene Datenschutzorganisationen einer genauen Prüfung unterzogen, um sicherzustellen, dass die Privatsphäre der Nutzer nicht durch Hersteller und Mobilfunkanbieter verletzt wird. Der oberste bayerische Datenschutzbeauftragte Thomas Kranig hat beispielsweise Apple einen Brief geschrieben, mit welchem er Auskunft  über die Verwendung von CIQ verlangt. Das Wichtigste, so Kranig, sei zu gewährleisten, dass die  Anwender wissen wie ihre Daten verwendet werden; sei dies nicht der Fall, gebe es hier ein Problem.

Samsung bestätigt, dass ihre in Europa verkauften Geräte nicht mit der Software ausgestattet sind. Trotz dieser Beteuerung sind hier aber schon Geräte aufgetaucht, die mit CIQ bestückt sind. Auch Apple gibt zu, dass in früheren iOS-Versionen CIQ installiert sei, mit iOS 5 aber komplett darauf verzichtet wird. Ausserdem seien keine persönlichen Informationen gesammelt worden.  Die europäischen Mobilfunkanbieter zeigen CIQ die kalte Schulter; Vodafone und Orange sagten, sie würden die Software nicht verwenden. Vodafone Portugal hat zwar 2009 Testläufe mit der Software gemacht, hat aber entschieden, diese nicht weiter zu verwenden. Ob man diesen Aussagen trauen kann? Endgültige Gewissheit wird der Nutzer nicht haben. Deshalb bleibt die Frage, was der Anwender selbst tun kann.

„Problem“ Carrier IQ : Was kann der Anwender tun?

Eckhart hat nebst anderen Entwicklern wie François Simond aka @supercurio auch eine App entwickelt, die es erlaubt, CIQ aufzuspüren. Eckharts App Loggers kann hier kostenlos heruntergeladen werden. Loggers verfügt über Methoden, mit denen auf dem Gerät laufende, Daten sendende Apps aufgespürt werden. Dies funktioniert auch auf ungerooteten Geräten; detektiert wird dann jedoch nur die Anwesenheit solcher Apps. Bei gerooteten Geräten wird zudem das exakte Logfile dargestellt. Mit der kostenlosen App können die entdeckten Dateien manuell gepatcht werden, wozu aber Root benötigt wird; ohne Root kann nichts unternommen werden. Neben dieser kostenlosen App steht auch eine Pro-Version  zur Verfügung, die das automatische Patchen der Dateien ermöglicht. @supercurio’s Voodoo CarrierIQ Detector gibt’s umsonst im Market. Diese App kann jedoch nur CIQ detektieren, aber (noch?) nicht  entfernen. Ein Tipp zum Schluss: Die meisten Custom Roms entfernen das Problem ganz von alleine. Eine Auswahl an Custom Roms zum Schutz vor der lästigen Carrier IQ  findet ihr hier.

Video zum Thema Carrier IQ.:

Profilbild von Gary
Profil vollständig anzeigen

Bloggt seit Jahren mit vielseitigen Interessen, kümmert sich um administrative und redaktionelle Inhalte. Sachlich und nüchtern, oder auch persönlich und polemisch - auf jeden Fall aber immer voll bei der Sache. Du kannst mir auch auf Twitter oder Google+ folgen oder unseren RSS-Feed abonnieren.

Android Nougat News & Deals – morethanandroid.de
Android Nougat News & Deals – morethanandroid.de
Neuen Account registrieren

Geburtstag

Nur sichtbar für eigene Freunde

Passwort zurücksetzen
Miteinander vergleichen
    Vergleichen