O hacker do Android e o consultor de segurança profissional Dan Rosenberg (você pode conhecê-lo como djrbliss da Internets) concluiu seu próprio estudo sobre o QI da operadora e encontrou alguns resultados interessantes. Todos esses relatórios sobre o registro de pressionamentos de teclas e a espionagem de mensagens SMS parecem ter sido responsabilizados pela parte errada, pois sua pesquisa mostra que o QI da operadora, por escrito, pode capturar apenas os dados que a operadora envia para ela (conhecidos como métricas), e mesmo assim ainda precisa consultar um perfil (pense nele como uma página de configurações para qualquer aplicativo) em que uma operadora tenha gravado o CIQ especificamente para sua instalação. Nas suas próprias palavras:
Caro Internet, O CarrierIQ faz muitas coisas ruins. É um risco potencial para a privacidade do usuário, e os usuários devem ter a capacidade de optar por não participar.
Mas as pessoas precisam reconhecer que há uma grande diferença entre gravar eventos como pressionamentos de tecla e URLs HTTPS em um buffer de depuração (o que é bastante ruim por si só) e realmente coletar, armazenar e transmitir esses dados para operadoras (o que não acontece). Depois da engenharia reversa do CarrierIQ, não vi nenhuma evidência de que eles estejam coletando algo além do que reivindicaram publicamente: dados de métricas anonimizados. Há uma grande diferença entre "olha, faz alguma coisa quando pressiono uma tecla" e "está enviando todas as minhas teclas para a operadora!". Com base no que vi, não há código no CarrierIQ que realmente registra pressionamentos de tecla para fins de coleta de dados. Obviamente, o fato de haver ganchos nesses eventos sugere que versões futuras podem abusar desse tipo de funcionalidade, e o CIQ deve ser responsabilizado e estar sob exame minucioso para que esse tipo de invasão da privacidade não ocorra. Mas todo o barulho recente sobre isso é praticamente infundado.
Há muitas razões para ficar chateado com o CIQ, mas não tire conclusões precipitadas com base em evidências incompletas.
Saudações,
Dan Rosenberg
Então, e todas as coisas que vemos no vídeo de Trevor Eckhart sobre o EVO em ação? Está obviamente lá, então o que há com tudo isso? Não somos pesquisadores de segurança, profissionais ou não, mas somos nerds que lêem sobre explorações e segurança todos os dias. O melhor que podemos descobrir é que a HTC expôs esses eventos ao log enquanto os enviava como dados métricos anônimos para o aplicativo Carrier IQ. Ainda não há evidências, e nunca houve, de que esses dados sejam enviados para qualquer lugar.
A principal coisa a tirar desta notícia é que, embora o QI do Operador seja assustador e muitos de nós os consideremos maus, eles fornecem apenas um serviço para coletar dados que os provedores e OEM disponibilizam. Isso precisa ser mais transparente, porque nunca vai desaparecer - se você não gostar, não use nossa rede, ninguém está segurando uma arma na sua cabeça, é provável que as operadoras se posicionem sobre o assunto e de uma maneira que eles estão certos. Nossa escolha é não gastar dinheiro com eles, e o céu sabe que eu entendo o quão impopular essa idéia é em primeira mão. Mas as coisas estão cada vez mais parecidas com as transportadoras e fabricantes, que precisam compartilhar boa parte da culpa aqui, e toda essa bagunça é uma maneira fácil de coletar dados que eles já estão coletando.
Quando terminarmos aqui, podemos começar a analisar como as empresas que se apressaram a gritar "Não usamos o QI de operadora em nossos telefones" estão coletando os mesmos dados com algo diferente de QI de operadora, para ter certeza de que as alterações estão ocorrendo. feito em geral versus crucificar uma pequena empresa no Vale do Silício.
Fonte: Vulnfactory; Pastebin
