La oss dele det opp etter kategori.
Hvilken informasjon overvåker Carrier IQ? Trevor Eckhart sier (avhengig av fra telefonprodusenten) mottar den hver tast som trykkes / trykkes på, plasseringen av et trykk på skjermen, innholdet i alle mottatte tekstmeldinger, navnet på hver app du åpner eller bytter fokus til, informasjon om hver samtale du mottar, posisjonen din hver gang stedet oppdateres / spørres, URL-en til hver besøkte webside (inkludert URL-parametere; ja, til og med for https-URL-er), og muligens annen informasjon om hver HTTP-forespørsel. Jeg har ikke sett noen bestride disse påstandene.
Merk at dette er informasjon som overvåkes av Carrier IQ-applikasjonen; det betyr ikke nødvendigvis at applikasjonen gjør noe med dataene, lagrer den eller lar den forlate telefonen.
Hvilken informasjon registrerer Carrier IQ på telefonen din? Det er vanskelig å få klar informasjon om hvilken informasjon som kan lagres på telefonen din ved vedvarende lagring eller loggfiler. Logger Carrier IQ informasjonen den mottar? Jeg vet ikke.
Carrier IQ sier at programvaren deres "ikke registrerer, lagrer eller overfører innholdet i SMS-meldinger, e-post, fotografier, lyd eller video", og de har sagt "vi lagrer ikke" tastetrykk og at de "ikke tar opp tekstmeldinger". Imidlertid de sier også at de gjør "registrerer hvor du var da [et] anrop [ble] droppet, og plasseringen av tårnet som ble brukt". Lookout sier "det ser ikke ut til at de sender tastetrykkene dine direkte til transportørene". Dan Rosenberg ser ut til å antyde at Carrier IQ-applikasjonen "registrerer hendelser som tastetrykk og HTTPS-URL-er til en feilsøkingsbuffer", men det er ikke klart for meg hvor den feilsøkingsbufferen er lagret (bare i minnet av Carrier IQ-applikasjonen? eller ved vedvarende lagring av noe slag?), og det er alltid mulig at jeg har mistolket uttalelsen hans eller lest for mye til en kort setning. Dan Rosenberg utarbeidet senere og fant at CarrierIQ på en bestemt telefon kan registrere besøkte nettadresser (inkludert for HTTPS), GPS-posisjonsdata og telefonnumre, men ikke alle tastetrykk, ikke innholdet i SMS-tekster, og ikke innholdet på nettsidene som er surfet.
CarrierIQ har senere avklart at programvaren deres registrerer "telefonnumrene SMSene er fra og til".
Trevor Eckhart sa at Carrier IQ-programvaren på HTC-telefonen hans registrerte mange personlige data (tastene ble trykket, SMS-tekster, etc.) i en feilsøkingsloggfil, slik at denne informasjonen lagres i tydelig på telefonen hans. Carrier IQ har senere bekreftet dette funnet. Carrier IQ sier dette er fordi feilsøkingsfunksjonene forble slått på; det høres ut som de beskylder HTC for ikke å slette eller deaktivere feilsøkingskoden i Carrier IQ-programvaren. Det er ikke kjent om et lignende problem kan være til stede på telefoner fra andre produsenter, eller om dette er begrenset til bare HTC-telefoner.
Hvilken informasjon overføres til operatører? Carrier IQ sier at bare diagnostikkinformasjon og annen statistikk forlater telefonen din: "For eksempel forstår vi om en SMS ble sendt nøyaktig , men ikke lagre eller overføre innholdet i SMSen. Vi vet hvilke applikasjoner som tømmer batteriet, men tar ikke opp skjermen. " Dan Rosenburg sier at programvaren også kan rapportere posisjonen din (GPS) i noen situasjoner. Carrier IQ har bekreftet at programvaren deres fanger opp telefonnumre som er ringt og mottatt, og alle nettadresser som er besøkt, hvis de er aktivert av operatøren.
Imidlertid sier Carrier IQ også at mengden informasjon som sendes til operatører er opp til transportøren, og er enig i at Carrier IQ-applikasjonen har mulighet til å overføre hvilke applikasjoner som brukes og hvilke nettadresser brukeren besøker. Noen av transportørene har ikke vært veldig imøtekommende: f.eks. Sprint sier de "samler inn nok informasjon til å forstå kundeopplevelsen med enheter i nettverket vårt og hvordan vi skal løse eventuelle tilkoblingsproblemer, men vi gjør ikke og kan ikke se på innholdet i meldinger, bilder, videoer osv., ved hjelp av dette verktøyet "(ikke veldig spesifikk); AT&T sier at deres bruk av Carrier IQ overholder deres publiserte personvernregler, men har ikke sagt noe mer. Andre operatører har vært mer eksplisitte: Verizon og RIM sier at de ikke bruker Carrier IQ, og at de ikke forhåndsinstallerer den på noen av telefonene sine. Tilsynelatende bruker T-Mobile Carrier IQ, men jeg har ennå ikke funnet en uttalelse fra dem.
Carrier IQ har senere avslørt en feil i koden som kan forårsake den, under visse omstendigheter spesielle omstendigheter, for å fange innholdet i tekstmeldinger og uforvarende overføre det til transportøren, som et resultat av en utilsiktet feil i koden.
Hvordan overføres informasjonen til operatører? Carrier IQ sier sier at all informasjon som overføres fra telefonen sendes over en kryptert kanal til operatøren. Jeg har ikke sett noen bestride denne uttalelsen.
Kan transportører eller andre befale applikasjonen å endre noe av dette? Jeg vet ikke. Jeg kan ikke fortelle om det er en måte at transportører eller Carrier IQ kan sende en kommando til Carrier IQ-applikasjonen for å få den til å samle inn, registrere eller kommunisere mer informasjon enn den gjør i sin normale driftsmodus.
Trevor Eckhart sier at transportører kan "skyve" en datainnsamlingsprofil til en telefon. Han sier også at profilen spesifiserer hvilke data som samles inn, lagres og overføres fra telefonen av Carrier IQ-applikasjonen, og at alle data som mottas av Carrier IQ-applikasjonen, potensielt er kvalifisert for å bli overført fra enheten, hvis profilen spesifiserer det. Han antyder at en "portaladministrator" (antagelig hos transportøren) dermed har muligheten til å målrette mot en bestemt abonnent, skyve til dem en profil som får telefonen til å overføre et bredt utvalg av informasjon (tastene trykkes, innholdet i tekstmeldinger, URLer osv.) Av telefonen, og kan deretter se denne informasjonen. Hvis dette er korrekt, antyder det at selv om applikasjonen normalt ikke overfører denne informasjonen fra telefonen, har transportøren muligheten til å tvinge applikasjonen til å gjøre det. Det er ikke klart om det er noen varsling til brukeren eller noe forsøk på å få samtykke før dette skjer. Jeg har ikke sett noen uavhengig analyse av disse påstandene.
CarrierIQ har senere bekreftet at det er mulig å sende kontrollmeldinger til CarrierIQ-programvaren via SMS, for å befale CarrierIQ-programvaren å utføre bestemte oppgaver. CarrierIQ har ikke avklart hva som er hele spekteret av kommandoer som kan sendes, eller hvordan CarrierIQ-programvaren autentiserer disse kommando-SMSene for å sikre at de ikke utnyttes av angripere, så det er vanskelig å vurdere risikoen forbundet med denne funksjonen.
Andre informasjonskilder. Wikipedia har en side på Carrier IQ, som inneholder noen oppdateringer, en liste over operatører og håndsettprodusenter som gjør eller ikke distribuerer Carrier IQ, noen reaksjoner fra beslutningstakere, og søksmål mot Carrier IQ.