안드로이드 해커이자 전문 보안 컨설턴트 인 Dan Rosenberg (인터넷에서 djrbliss 로 알고 있음)는 Carrier IQ에 대한 자체 연구를 완료했으며 흥미로운 결과를 발견했습니다. 키를 기록하고 SMS 메시지를 감시하는 것에 대한 모든 보고서는 잘못된 것으로보고있는 것으로 나타났습니다. 그의 연구에 따르면 Carrier IQ는 기록 된대로 캐리어가 전송 한 데이터 (메트릭이라고도 함) 만 캡처 할 수 있으며 이동 통신사가 설치를 위해 특별히 CIQ 쓰기를 수행 한 프로파일 (모든 앱의 설정 페이지라고 생각)을 참조해야합니다. 자신의 말로:
친애하는 인터넷, CarrierIQ는 많은 나쁜 일을합니다. 사용자 개인 정보 보호에 잠재적 인 위험이 있으며 사용자에게이를 거부 할 수있는 기능이 제공되어야합니다.
그러나 사람들은 키 스트로크 및 HTTPS URL과 같은 이벤트를 디버깅 버퍼에 기록하는 것 (실제로는 나쁘다)과 실제로 데이터를 수집, 저장 및 전송하는 것 (발생하지 않음)간에 큰 차이가 있음을 인식해야합니다.. CarrierIQ를 역 엔지니어링 한 후, 익명으로 측정 한 메트릭 데이터라는 공개적으로 주장한 것 이상을 수집한다는 증거를 보지 못했습니다. "내가 키를 눌렀을 때 무언가를한다"와 "내 키 입력을 모두 캐리어에게 보낸다"사이에는 큰 차이가있다. 내가 본 것을 기반으로, CarrierIQ에는 실제로 데이터 수집 목적으로 키 입력을 기록하는 코드가 없습니다. 물론, 이러한 이벤트에 후크가 있다는 사실은 향후 버전에서 이러한 유형의 기능을 남용 할 수 있으며 CIQ는 이러한 유형의 개인 정보 침해가 발생하지 않도록 책임을지고 면밀히 조사해야합니다. 그러나 최근에 발생한 모든 소음은 근거가 없습니다.
CIQ에 대해 많은 이유가 있지만 불완전한 증거에 근거한 결론으로 넘어 가지 마십시오.
문안 인사,
댄 로젠버그
그렇다면 Trevor Eckhart의 EVO 비디오에 나오는 모든 내용은 어떻습니까? 분명히 거기에 있습니다. 그래서 그게 다 무슨 일입니까? 우리는 전문가 나 다른 보안 연구원이 아니지만 매일 익스플로잇과 보안에 대해 읽는 괴상한 사람들입니다. 우리가 알 수있는 최선의 방법은 HTC가 해당 이벤트를 익명의 메트릭 데이터로 Carrier IQ 앱에 보내는 동안 해당 이벤트를 로그에 노출 한 것입니다. 여전히 그 데이터 중 어느 곳에서나 전송되었다는 증거는 없었으며 결코 없었습니다.
이 소식에서 가장 큰 문제는 Carrier IQ가 무섭고 많은 사람들이 악의적이라고 생각하지만 운송 업체와 OEM이 제공하는 데이터를 수집하는 서비스 만 제공한다는 것입니다. 절대로 사라지지 않을 것이기 때문에보다 투명하게 만들어야합니다. 네트워크를 사용하지 않으려면 아무도 총을 들고 머리에 총을 들고 있지 않을 것입니다. 그들이 옳은 길. 이 문제에서 우리의 선택은 우리와 돈을 쓰지 않는 것이며, 하늘은 그 아이디어가 얼마나 인기가 없는지 이해합니다. 그러나 통신 사업자 및 제조업체가 여기에서 좋은 비난을 공유 해야하는 것처럼 점점 더 많이 보이고 있습니다.이 모든 혼란은 이미 수집 한 데이터를 수집하는 쉬운 방법입니다.
여기에서 마치면 "휴대 전화에서 Carrier IQ를 사용하지 않습니다"라고 외침을 한 회사가 Carrier IQ 이외의 다른 데이터를 사용하여 동일한 데이터를 수집하는 방법을 살펴볼 수 있습니다. 실리콘 밸리의 작은 회사를 십자가에 못 박는 것과 비교하여
출처: 불취; Pastebin
