Carrier IQは正確にどのようなリスクをもたらしますか？

カテゴリ別に分類してみましょう。

Carrier IQはどのような情報を監視しますか？Trevor Eckhartsays （電話の製造元によって異なります）各キーが押された/タップされた、画面上の任意のタップの場所、受信したすべてのテキストメッセージの内容、開いた、またはフォーカスを切り替えた各アプリの名前、受信した各通話に関する情報、場所が毎回の場所である更新/照会、アクセスされた各WebページのURL（URLパラメーターを含む、はい、https URLの場合も含む）、および各HTTPリクエストに関するその他の情報。私はこれらの主張に異議を唱える人を見たことがありません。

これはCarrier IQアプリケーションによって監視される情報であることに注意してください。これは必ずしも、アプリケーションがデータを使用して何かを実行したり、データを保存したり、携帯電話から離れることを許可するという意味ではありません。

Carrier IQが携帯電話に記録する情報は何ですか？永続ストレージまたはログファイルの携帯電話に保存されている可能性のある情報を明確に把握するのは困難です。 Carrier IQは受け取った情報をログに記録しますか？知りません。

Carrier IQによる 彼らのソフトウェアは「SMSメッセージ、電子メール、写真、オーディオまたはビデオ）の内容を記録、保存、または送信しない」、および 彼らは言った 「私たちは保存していない」キーストロークであり、「テキストメッセージを記録しない」と述べたが、 彼らも言う 彼らはdo「[a]コールがドロップされたときの場所と、使用されているタワーの場所を記録します。」 Lookoutのコメント 「キーストロークを直接送信しているようには見えないキャリア」 Dan Rosenbergが示唆しているようです Carrier IQアプリケーションは「キーストロークやHTTPS URLなどのイベントをデバッグバッファーに記録しています」が、そのデバッグバッファーがどこに保存されているかはわかりません（ Carrier IQアプリケーションのメモリにあるのか、それとも何らかの永続的なストレージにあるのか？）そして、私は彼の発言を誤って解釈したり、短いフレーズを読みすぎたりする可能性があります。DanRosenberg その後、詳しく説明します 、ある特定の電話でそれを見つけるierIQは、訪問したURL（HTTPSを含む）、GPS位置データ、および電話番号を記録できますが、すべてのキーストロークではなく、SMSテキストの内容や、閲覧したWebページの内容ではありません。

CarrierIQには その後明確化 があり、ソフトウェアは「SMSの発信元と宛先の電話番号」を記録します。

Trevor Eckhart氏は、HTCフォンのCarrier IQソフトウェアが多くの個人データ（キーが押された、SMSテキストなど））をデバッグログファイルに記録したため、この情報はCarrier IQはその後 この結果を確認した です。CarrierIQ 言う これは、デバッグ機能がオンになっているためです。HTCが削除されなかったために非難されているようですまたはCarrier IQソフトウェアのデバッグコードを無効にします。同様の問題が他のメーカーの電話に存在するかどうか、またはこれがHTC電話に限定されているかどうかは不明です。

どの情報が通信事業者に送信されますか？Carrier IQによると 診断情報とその他の統計情報のみが携帯電話に残ります：「たとえば、 SMSが正確に送信されたかどうかはわかりますが、SMSの内容は記録または送信されません。どのアプリケーションがバッテリーを消耗しているかはわかりますが、画面はキャプチャされません。 "Dan Rosenburg- says ソフトウェアが状況（GPS）を報告することもあります。Carrier IQ 確認済み 有効になっている場合、ソフトウェアがダイヤルおよび受信した電話番号とアクセスしたすべてのURLをキャプチャすることキャリア。

ただし、 Carrier IQも言う 通信事業者に送信される情報の量は通信事業者次第であり、Carrier IQアプリケーションには、使用されているアプリケーションとURLを送信する機能があることに同意しますユーザーの訪問。一部の通信事業者はあまり近づいていない：例 Sprintによると 「ネットワーク上のデバイスのカスタマーエクスペリエンスと接続の問題に対処する方法を理解するのに十分な情報を収集しますが、私たちはそうではありません。このツールを使用して、メッセージ、写真、ビデオなどの内容を確認してください。 AT＆Tによると Carrier IQの使用は、公開されているプラ​​イバシーポリシーに準拠していますが、それ以上のことは何も述べていません。他のキャリアはより明確になっています： Verizon および [〜＃〜] rim [〜＃〜] 彼らはCarrier IQを使用せず、プレインストールしていませんそれは彼らの電話のいずれかで。どうやらT-MobileはCarrier IQを使用していますが、私はまだ彼らからの声明を見つけていません。

キャリアIQには その後、開示されます コードにバグがあり、特定の特別な状況下で、意図しないバグの結果として、テキストメッセージのコンテンツをキャプチャして、不注意にキャリアに送信する可能性があります彼らのコード。

情報はどのようにキャリアに送信されますか？キャリアIQによると 電話から送信される情報はすべて、キャリアへの暗号化されたチャネル。この声明に異議を唱える人を見たことがありません。

キャリアや他の人がアプリケーションにこれを変更するように命令できますか？わかりません。通信事業者またはCarrier IQがCarrier IQアプリケーションにコマンドを送信して、通常の動作モードよりも多くの情報を収集、記録、または通信させる方法があるかどうかはわかりません。

Trevor Eckhartによると キャリアはデータ収集プロファイルを電話に「プッシュ」できます。彼はまた、プロファイルはCarrier IQアプリケーションによってどのデータが収集され、保存され、電話から送信されるかを指定し、Carrier IQアプリケーションによって受信されたすべてのデータは、プロファイルの場合、デバイスから転送される可能性があると述べていますそれを指定します。彼は、「ポータル管理者」（おそらくキャリアで）が特定のサブスクライバーをターゲットにする能力を持っていることを示唆しています。電話に幅広い情報を送信させるプロファイルをプッシュします（押されたキー、テキストメッセージの内容、 URLなど）を電話から外すと、この情報を表示できます。これが正確である場合、アプリケーションが通常この情報を電話から送信しない場合でも、通信事業者はアプリケーションに強制的に送信させることができることを示唆しています。これが発生する前に、ユーザーへの通知または同意を得ようとする試みがあるかどうかは明確ではありません。私はこれらの主張の独立した分析を見たことがありません。

CarrierIQには その後確認済み SMSを介して制御メッセージをCarrierIQソフトウェアに送信し、特定のタスクを実行するようにCarrierIQソフトウェアに命令することが可能です。 CarrierIQは、送信可能なコマンドの全範囲、またはCarrierIQソフトウェアがこれらのコマンドSMSを認証して攻撃者に悪用されないようにする方法を明確にしていないため、この機能に関連するリスクを評価することは困難です。

その他の情報源。ウィキペディアには Carrier IQのページ があり、アップデート、キャリアのリスト、携帯電話メーカーのリストが含まれています。 Carrier IQ、政策立案者からの反応、およびCarrier IQに対する訴訟を展開するかしないか。