A pesar de haber estallado en las últimas horas, el escándalo de Carrier IQ ya tiene varios días. En el siguiente archivo al que podrán acceder haciendo clic aquí, podrán leer el comunicado enviado desde la empresa a Trevor Eckhart, desarrollador que descubrió la falla de seguridad.
Según lo explicado por Carrier IQ en esas lineas, si bien se recolecta información sobre la actividad del usuario, ésta es utilizada por los proveedores para resolver distintos problemas, relacionados con la conectividad del equipo y sus redes.
La firma aclara que su software no realiza las siguientes operaciones:
– Registrar las pulsaciones del teclado.
– Proporcionar las herramientas de seguimiento.
– Revisar o informar sobre el contenido de comunicaciones, tales como el contenido de los correos electrónicos y mensajes SMS.
– Proporcionar datos en tiempo real de información a cualquier cliente.
– Vender soporte de datos IQ a terceros.
El software de Carrier IQ se encontraría instalado en más de 140 millones de dispositivos móviles, como smartphones y tablets, y sería instalados en estos aparatos por las compañías prestadoras de servicios de telecomunicaciones.
[…] No garantizamos la seguridad de la información personal. Si realmente cuidas tu información, no deberías usar un teléfono. Como Replicant es un sistema completamente libre, no puede garantizar que todo el teléfono esté bajo tu control ni sea seguro. Usando Replicant y apps libres se garantiza que ningún componente del sistema contenga backdoors o funcionalidades maliciosas, mientras otras versiones de Android con código propietario pueden tener partes maliciosas como CarrierIQ. […]
Espero que no dejes de desarrollar aclaracion en esta web. Muchos exitos
Tengo un NOKIA 1100 me tiene preocupado lo del Carrier IQ mi celular lo tendrá… no quiero que sepan cuando juego a la vivorita malditos!!!
Primero nada de Google, iPhone, Blackberry, etc… es un software que no tiene nada que ver con los sistemas operativos “base”…
Hace unos años leo la revista solo para enterarme de la tecnología, pero la investigación que están haciendo es muy vaga… estaría bueno que si quieren poner noticias investiguen todo parecen Radicales y Peronistas, un Boca-River… no somos ya tan trogloditas como para no ver las cosas… el/la internet está para buscar la info que nos presentan… hay que dejar de opinar al cuete… mucha tv basura…Uno de los comentarios a nombre de Andres pone los links a las cartas que se mandaron… Eso es lo que RedUsers tendría que haber publicado también (si lo hizo no lo encontré).
Por último, fuera de que estén o no enviando mi información para que la analicen y sepan mis movientos… les dejo la “imagen” de la empresa, que es lo que propone.
Para los que no saben que es Carrier IQ (o por lo menos así se presenta la empresa).
http://www.carrieriq.com/overview/index.htm
Acá está el material de entrenamiento que Trevor bajó del sitio de Carrier IQ (antes de que lo eliminen), y por el cual le mandaron la demanda de “Cese y desista” (el link nuevo está como multiupload en la respuesta de EFF):
http://www.megaupload.com/?d=DUHU2SGC
Para los que lo quieran analizar! 😀
Esta es la amenaza de Carrier IQ al flaco que descubrió lo que hace su programita:
https://www.eff.org/sites/default/files/eckhart_cease_desist_demand_redacted.pdf
Esta fue la respuesta de EFF (Electronic Frontier Foundation) a Carrier IQ:
https://www.eff.org/sites/default/files/eckhart_c%26d_response.pdf
Y esta la disculpa de Carrier IQ:
https://www.eff.org/sites/default/files/Marcia%20Hoffman%20Fax%2011.23.11.pdf
Estaría muy bueno saber quienes con los clientes de Carrier IQ (¿estarán Telecom / Movistar / Claro entre ellos?). Si alguien tiene más info al respecto, que la postee.
Saludos!
Además de que ya está mal que la app no aparezca en la lista de servicios ejecutándose, y que uno tenga que ir a una sección casi oculta para buscar algo como “IQ” y ver que cuando lo querés desactivar no podés, destaco lo más importante de la explicación del desarrollador Trevor Eckhart (a partir del minuto 14:00):
“…Cuando el navegador aparece podés ver como Google solicita tu ubicación. Yo expresamente negué esto, pero como la ubicación fue pedida obtenemos un ‘Submit LC30’ aquí, y eso significa que el agente de IQ conoce nuestra ubicación a pesar de que le negué a este sitio obtenerla.
Aquí podemos ver el URL de la página a la que ingresamos. Voy a resaltar una cosa sobre esto más tarde…
Ahora voy a buscar la cadena ‘hello world’ en Google. Voy a volver al log y usar mis baterías (esos cuadrados negros sobre la pantalla del log) para que no se muestre mi ubicación (obvio que Trevor no quiere que los que vean este video la conozcan, je, je).
Bajo un poco y vemos que fui a Google Search y busqué las palabras ‘hello world’. El problema aquí es que esto está sobre HTTPS, y se supone que esta información está encriptada. La forma en que trabaja es: Se supone que tenés que obtener handshakes (http://en.wikipedia.org/wiki/Handshaking) que buscan el certificado para todo lo que sigue al dominio.
Una vez realizados esos handshakes, toda la página está conectada, asi que se supone que los Strings y cosas como esas siempre están encriptadas en el mundo del HTTPS.
Ahora lo que estoy mostrando, haciendo una simple búsqueda en Google, es que hay instancias en las que puedes pasar un nombre de usuario y una contraseña en texto plano, y la razón aquí se debe a que estos Strings deberían estar encriptados, pero ignoramos que Carrier IQ está consultando estos Strings a través de mi red inalámbrica sin conectividad 3G, y está leyendo ‘HTTPS’ (acá Trevor quiere decir que a pesar de que Carrier IQ ve que estamos navegando de forma segura, queriendo privacidad, le chupa un huevo).”
PREGUNTAS FINALES DE TREVOR:
“¿Por qué las pulsaciones de teclas generan códigos U101 y únicos?
¿Por qué no se nos da la opción de no incluir este software, y por qué es tan difícil de eliminar?
¿Por qué se llama a SMSNotify y éste muestra que envía mensajes de texto a Carrier IQ?
¿Por qué se leen los datos de mi navegador, especialmente los de HTTPS en mi WiFi?”
Bien, en esta nota me queda más aclarado el asunto. Ya me parecía que debía existir un error en la nota “¿Steve Jobs tenía razón?…”. Allí mencionan que el programa Carrier IQ guarda datos para que los usen los fabricantes. Sin embargo, el propio nombre del programa ya lo dice: Carrier es como le llaman generalmente a las prestadoras telefónicas.
Che Carrier IQ, rindansé! tienen la manzana rodeada, ya no los bancan ni los iZombies. Rindansé y tendrán un juicio justo
Aca hay uno que se aninó a elimiar a IQ
http://tutorialesapocrifos.blogspot.com/2011/12/como-eliminar-el-carrier-iq-rootkit-de.html
IQ q buena banda… (jaja q viejo q soy)
pero les dejo el video…
http://www.youtube.com/watch?v=vGs8HUMow74