Carrier iQ, un espía en tu teléfono, especialmente en tu Android.

by Erick Diaz

En estos días se ha formado un revuelo debido a que un hacker descubrió un programa hecho por Carrier iQ, en un celular Android, fabricado por HTC. Todo comenzó la semana pasada cuando Trevor Eckhart dijo que había encontrado un “rootkit” en su teléfono HTC. La compañía responsable, Carrier iQ, lo amenazó con demandarlo y luego se retractaron cuando vieron que Eckhart buscó ayuda y defensa legal con la EFF (Electronic Frontier Foundation). Como parte de su defensa, Carrier iQ alegó que solo usa la información mínima necesaria para proveer sus servicios y que no espía a los usuarios.

El problema es que esto no es del todo cierto. Como verán en el vídeo de Eckhart, la aplicación graba las sesiones encriptadas con HTTPs, los mensajes de texto, cada botón presionado, lo que se escribe en el teclado. Además graba cada número que se marque antes de que salga la llamada.

Esto no es culpa de Google (por lo que sabemos hasta ahora, de hecho el Nexus nuevo no lo tiene), es culpa y responsabilidad de los fabricantes y de los proveedores de servicio. Una cosa es monitorear el funcionamiento del teléfono y otra es espiar todo lo que se hace en el. Los proveedores de por si, ya saben mucha información, no necesitamos darle mas.

Se ha descubierto que está en mas de 130 millones de equipos, incluyendo Androids, y resulta que en los iPhones. Nokia y RIM negaron que usaran esto, y hasta el momento no hay una lista definitiva de quienes lo usan. Verizon niega usarlo, Sprint dice que lo utiliza para monitorear el funcionamiento de su red. En el caso de los Androids, según Eckhart, es posible quitar esto haciendo un “rooting” al equipo y así se elimina gran parte del código.

En el caso de los iPhones, con ir a Settings> General> About> y Diagnostico y Uso, y seleccionando no enviar data de diagnóstico se resuelve el problema. De fábrica, esta opción en iOS está apagada y al momento de configurar el equipo se le pregunta al usuario si quiere activarlo. En Android, viene de fábrica por pedido del proveedor de servicios y no pregunta, simplemente viene activado con el celular. Si quieres saber si tu Android lo tiene ve aquí.

Aún así, cabe señalar que la versión de este software instalado en los iPhones, no hace todo lo que se le permite hacer en Android. Hasta el momento, según Chpwn en iOS no tiene acceso al texto escrito, passwords, historia del browser, o mensajes de texto.

Según salga mas información les dejo saber, por ahora, les dejo los links que usé para este artículo para que lean ustedes la información directamente.

UPDATE!!! Luego que escribí este artículo salió una información importante de Apple:

“We stopped supporting Carrier IQ with iOS 5 in most of our products and will remove it completely in a future software update. With any diagnostic data sent to Apple, customers must actively opt-in to share this information, and if they do, the data is sent in an anonymous and encrypted form and does not include any personal information. We never recorded keystrokes, messages or any other personal information for diagnostic data and have no plans to ever do so.”

UPDATE 2: AT&T, Sprint, HTC y Samsung confirman que usan Carrier iQ.

UPDATE 3: CNET reporta que Carrier iQ no hace “Key-logging”, aún así, continúan las preocupaciones sobre cuan segura está la data.

UPDATE4: Salen dos demandas de clase contra Carrier iQ, Samsung, HTC.

ObamaPacman, Segundo link

Electronista

iDownloadBlog

AndroidSecurityTest

TheVerge

About these ads