[update III] Carrier IQ: Chronologie eines Skandals
Die Eckpunkte des Themas ‚Carrier IQ‚ dürften bekannt sein. Hier ein Abriss des zeitlichen Verlaufs.
Den Stein ins rollen brachte Trevor Eckhart mit seiner ursprünglichen Software-Analyse, die XDA-Developers.com mit „The Rootkit Of All Evil“ und „More on Carrier IQ“ Mitte November aufgriff:
Carrier IQ sells rootkit software included on many US handsets sold on Sprint, Verizon and more. Devices supported include android phones, Blackberries, Nokias, Tablet devices and more.
Am 16.11. antwortet Carrier IQ mit einer Pressemitteilung (PDF-Link) und beschreibt am 20.11. in einem YouTube-Kommentar sein Produkt.
Am 21.11. stellt Carrier IQ eine Abmahnung an Trevor Eckhart zu. Der Android-Entwickler wendet sich daraufhin an die Electronic Frontier Foundation.
Carrier IQ fired off a cease-and-desist letter to Eckhart, claiming that he infringed its copyrights and made unspecified „false allegations“ about its software.
23.11. – Carrier IQ zieht das Abmahnschreiben zurück und entschuldigt sich.
“We are deeply sorry for any concern or trouble that our letter may have caused Mr. Eckhart, and in retrospect we realize that we would have been better served by reaching out to Mr. Eckhart to establish a dialogue in the first instance,” Larry Lenhart, the Mountain View, California company’s chief executive said in a letter (.pdf) to Eckhart’s attorney, Marcia Hofmann, a senior staff attorney with the Electronic Frontier Foundation.
29.11. – Eckart publiziert ein YouTube-Video, das den Carrier-IQ-Hintergrundprozess beim Ausspionieren der Suchanfragen zeigt sowie beim Abspeichern jeder einzelnen Benutzereingabe.
The Android developer who raised the ire of a mobile-phone monitoring company last week is on the attack again, producing a video of how the Carrier IQ software secretly installed on millions of mobile phones reports most everything a user does on a phone.
In der vergangenen Nacht nimmt John Gruber die Carrier-IQ-Pressemitteilung vom 16.11. auseinander:
„Each customer is different and our technology is customized to their exacting needs and legal requirements.“
Don’t sue us, sue them.
Grant „@chpwn“ Paul findet Carrier-IQ-Einträge in iOS. Diese scheinen sich nach seiner Auffassung allerdings auf Diagnose-Daten zu beschränken, die dem Rahmen der Carrier-IQ-Produktbeschreibung entspricht.
But is this version of Carrier IQ the same keylogger/rootkit as on Android? The answer appears to be: not quite. It does access a reasonable amount of information, however. […] Importantly, it does not appear the daemon has any access or communication with the UI layer, where text entry is done. I am reasonably sure it has no access to typed text, web history, passwords, browsing history, or text messages, and as such is not sending any of this data remotely.
‚The Verge‘ rückt kurze Zeit später die Mobilfunkanbieter in den Mittelpunkt.
The Google Nexus One, Nexus S, Galaxy Nexus, and the original Xoom tablet do not contain Carrier IQ software. Each of those devices was launched in direct partnership with Google as the flagship for a new version of Android, so it seems that the addition of Carrier IQ comes from OEMs and carriers after Google open-sources Android’s code.
Seth Weintraub von 9to5Google stimmt zu.
Carrier IQ is something that Carriers put on phones as part of their OEM software. This is out of the hands of both Google and the manufacturers. […] Google’s Nexus devices don’t have Carrier IQ on them no matter what carrier they are on. Pure Android devices and many Android devices don’t have it. The carrier determines what products get the software. Google is powerless to stop carriers from putting them on Android devices.
Forbes spricht mit Jura-Professor Paul Ohm, der einen berechtigten Anlass zur Klage sieht.
“If CarrierIQ has gotten the handset manufactures to install secret software that records keystrokes intended for text messaging and the Internet and are sending some of that information back somewhere, this is very likely a federal wiretap.” he says. […]
Nokia bestreitet die Verwendung eines Carrier-IQ-Produkts auf ihren Geräte.
A Nokia spokeswoman said CarrierIQ does not ship products for any Nokia devices
Weitere Statements betroffener Hardware-Produzenten, Mobilfunkanbieter und Betriebssystem -Hersteller stehen zum jetzigen Zeitpunkt aus.
Update
18:55 Uhr: Blackberry-Hersteller Research in Motion sowie US-Mobilfunkprovider Verizon geben unmissverständlich zu Protokoll, die Software von Carrier IQ nicht einzusetzen. Auch die deutschen Netzbetreiber erhalten nach eigenen Aussagen keine Nutzerdaten auf diesem Weg, fragen bei ihren (Hardware-)Geschäftspartnern aber mal nach, was in deren Geräte-Firmware so vor sich geht.
Mittlerweile schrieb US-Senator Al Franken einen offenen Brief an Carrier IQ und möchte über das „Wann, Was und Wieso“ bis zum 14. Dezember informiert werden.
20:48: Die Geschichte ist mittlerweile ein Krimi. HTC lässt sich offiziell mit der Aussage zitieren, dass einige US-Mobilfunkanbieter die Verwendung von Carrier IQ verlangen. US-Netzbetreiber Sprint schrieb zuvor in ein Statement, den Dienst von Carrier IQ zu verwenden aber keinen Zugriff auf die persönlichen Telefoninhalte zu besitzen.
22:44 Uhr: Und auch Apple gibt sein Statement ab und bestätigt den aktiven ‚Opt-in‘ vom Nutzer – sowie den eigenen ‚Opt-out‘ von Carrier IQ.
We stopped supporting Carrier IQ with iOS 5 in most of our products and will remove it completely in a future software update. With any diagnostic data sent to Apple, customers must actively opt-in to share this information, and if they do, the data is sent in an anonymous and encrypted form and does not include any personal information. We never recorded keystrokes, messages or any other personal information for diagnostic data and have no plans to ever do so.