CarrierIQ

Das Thema geisterte ja in den vergangenen Tagen durch die Blogs: Die Hälfte der Android-User überlegt, ob sie sich eine Sicherheits-App a la Anti-Virus, Anti-Malware oder auch Anti-Wechisses installieren sollte, oder gar einen Privacy Protector zum Schutz gegen fremde Schnüffel-Apps – und dann liest man von Schnüfflern, die bereits vorinstalliert auf dem Gerät daher kommen. Um nur ein paar Quellen zu nennen:

• Millionen Mobiltelefone werden überwacht – Alle Informationen rund um den Carrier IQ-Skandal (AppDated.DE) [1]
• Carrier IQ - „Schnüffelsoftware“ auf Millionen von Geräten, aber nicht auf der Nexus-Reihe (AndroidPIT.DE) [2]
• Carrier IQ: doch keine "Schnüffelsoftware"? (AndroidPIT.DE) [3]
• Was sagt eigentlich Google zur „Schnüffelsoftware“ Carrier IQ? (AndroidPIT.DE) [4]
• Huawei: Einige US-Mobilfunkgesellschaften verlangen Carrier-IQ von den Hardware-Herstellern (AndroidPIT.DE) [5]
• Carrier IQ in Deutschland: Provider dementieren Handy-Spionage (TelTarif.DE) [6]
• Howto: Android Smartphone auf CarrierIQ ohne Root-Zugriff überprüfen (Nodch.DE) [7]
• Ergebnisse der Suche nach "carrieriq" auf AndroidPIT.DE

(Entgegen [2], scheint CarrierIQ übrigens doch auf Nexus-Geräten installiert zu sein).

Aus Herstellersicht handelt es sich hier durchaus um eine sinnvolle App, ließe sich doch im Fall von Problemen prima damit debuggen. Seltsamerweise sind es gerade die Gerätehersteller, die sich von dieser App distanzieren [5]. Auch Google möchte damit nichts zu tun haben [4]. Richtig heiß darauf sind offensichtlich nur die Provider in "Übersee" [5] – die in deutschen Landen waschen ihre Hände ebenfalls in Unschuld [6].

Wirklich beruhigend, dass uns der Hersteller der CarrierIQ App wissen lässt, dass ja nur Zustände erfasst werden [3], und nicht etwa persönliche Daten. Das verlinkte Video [1][2] lässt da allerdings deutliche Zweifel aufkommen – die Bezeichnung "Keylogger" [4] ist da viel eher angebracht. Damit wäre eigentlich nichts mehr sicher, was per Tastatur eingegeben wird. Klar, die angerufenen Nummern kennt der Provider ohnehin (der benötigt die ja auch für Verbindungsaufbau und ggf. Abrechnung sowie Einzelverbindungsnachweis). Auch die Inhalte von SMS könnte er theoretisch anderweitig einsehen. Aber dank dieses "Keyloggers" liegen auch eingegebene Passworte offen. Verschlüsselte Mails geraten so fast zum Witz.

Wen ich jetzt gehörig verunsichert haben sollte: Ja, mittlerweile kann man (auch ohne root) prüfen, ob man von diesem "vorinstallierten Schädling" befallen ist [7]. Schwieriger sieht es hingegen mit dem Entfernen aus: Wie bei vorinstallierten Apps allgemein üblich, braucht es dafür auch bei CarrierIQ entweder Android 4.0 (zum "einfrieren" bzw. deaktivieren – entfernen geht nur mit der Alternative) – oder aber root und die passende App:

• com.bloatfreezer.free: Hiermit lassen sich unerwünschte Apps "einfrieren" (deaktivieren) und bei Bedarf wieder "auftauen" (aktivieren)
• System App Freezer & Remover: Noch ein Freezer
• NoBloat Free / NoBloat: Löschen unerwünschter Apps
• Titanium Backup ★ root eignet sich sowohl zum Einfrieren/Auftauen als auch zum kompletten Entfernen

Weitere im Zusammenhang mit CarrierIQ interessante Apps wären:

2013-11-22

• org.projectvoodoo.simplecarrieriqdetector (4,7@3.593) LastUpdate 12/2011
• CarrierIQ Scanner & Protection (4,7@2.800) Internet
• Bitdefender Carrier IQ Finder (4,7@526) LastUpdate 12/2011; Detector
• com.trustgo.iqfinder (4,6@659) Internet
• Carrier IQ Scanner (4,6@126) LastUpdate 12/2011
• Carrier IQ Sensor (4,5@37) LastUpdate 12/2011; Detector
• Carrier IQ Red Pill (4,4@69) LastUpdate 12/2011; Detector Standort, Internet (oops? CIQ Replacement/Ergänzung?)
• com.anti.carrier.iq (4,3@153) LastUpdate 12/2011; Detector, Sende-Verhinderer andere Apps schließen
• CarrierIQ Spy (4,3@92) LastUpdate 12/2011; Detector & Monitor
• Carrier IQ Process Killer (4@45) LastUpdate 12/2011; Detector (all) & Prozesskiller (root only)
• com.hot.free.icq.killer.main (5@3) Detector nicht mehr im Kachelofen
• com.cpumedia.android.detectciq (4,5@14) nicht mehr im Kachelofen
• com.netqin.ciqcleaner (4,2@16) Detector nicht mehr im Kachelofen

Interessant könnte auch die Logging Test App v7 von Trevor sein...

Eine "historische Zusammenfassung" der Story findet Ihr übrigens im Artikel Carrier IQ: Der Spion, der mit dem Smartphone kam? in Kurzform.

Den gesammelten Information zufolge sollte ja niemand hier in Deutschland auf seinem in Deutschland gekauften Smarty den CarrierIQ Spion finden. Weiß jemand gegenteiliges zu berichten?

— geändert am 22.11.2013, 13:52:23

Nachtrag: Bei Phandroid tauchten heute zwei weitere interessante Meldungen bzgl. CarrierIQ auf:

• Carrier IQ Working With the FBI? FOIA Denial Seems to Suggest as Much [1]
• Carrier IQ Releases 19 Page Report Covering Their Business Practices In Painstaking Detail [2]
• heise online - Carrier IQ: Doch ein Fehler in der Smartphone-Diagnosesoftware [3]

Es schaut also ganz danach aus, als würde das FBI intensiv Gebrauch von CarrierIQ machen [1]. Na klar, das muss ja auch der Terrorismus fleißig bekämpft werden. CarrierIQ selbst geht in einem 19-seitigen PDF ausführlich auf "sein Produkt" ein [2] -- natürlich ist alles total harmlos, und alles dient nur zur Sicherung der Service-Qualität. Wohl auch der des FBI...

Übrigens geht [2] auch auf das Video von Trevor ein. An den "Keyloggern" sind natürlich die bösen Hersteller Schuld, die das Debugging nicht ausgeschaltet haben...

Edit: Heise geht auf der mit [3] markierten Seite u.a. auf [2] ein. Ein paar wichtige Kernpunkte aus diesem Artikel:

• CarrierIQ sammelt die Nummern ein- und ausgehender Anrufe, aber auch Daten wie die GPS-Position und die aufgerufenen Webadressen
• Regelmäßig schickt das Telefon einen Auszug der Daten an den Provider (oder zu speziell von Carrier IQ als Dienstleistung betriebenen Servern)
• Auf in Deutschland vertriebenen Smartphones wurde noch keine funktionsfähige Carrier-IQ-Software gefunden

— geändert am 15.12.2011, 10:46:32

Neverending Story? Weiter geht's:

Carrier IQ weist Schuld von sich [1]
Carrier IQ-Daten von Nutzern werden von Regierung verwendet - ohne deren Wissen - AndroidPIT [2]

Bei [1] geht es prinzipiell um das im vorigen Post bereits unter [2] angeschnittene Thema: Die bösen Hersteller (hier: HTC) seien Schuld, da sie das Debugging nicht deaktiviert hätten. Aber auch weitere Details tauchen auf: Etwa, dass gelegentlich SMS mitgeschnitten (und auf den CarrierIQ Server übertragen) wurden. Völlig ungefährlich natürlich, da sie ja verschlüsselt werden. Da kann also unterwegs niemand mitlesen (als ob das noch eine Rolle spielen würde: Wer möchte seine Daten überhaupt ungefragt auf fremde Server übertragen lassen?). Gleiches gilt übrigens für die URLs besuchter Websites (macht ja nix, das ist doch heute normal -- Hallo?).

Unter [2] erläutert der Fabi noch einige Hintergründe in gut verständlicher Form.

Hoppla, da ist mir doch glatt ein Link durch die Finnen... äh... Lappen gegangen:

The Rootkit Of All Evil – CIQ | xda-developers

Wie alles begann... Mit etlichen Screenshots.

Zeigen die Detektoren es als "aktiv" an -- oder lediglich als "vorhanden"? Den einschlägigen Quellen nach wurde in Deutschland bisland noch kein aktives CIQ gefunden -- wohl aber einige "inaktive Rudimente".

Davon war verschiedentlich die Rede, ja. Was mich nur wundert ist: Was hat ein Carrier mit einem Tab zu tun? Hat das Teil denn überhaupt Platz für eine SIM-Karte (da kenne ich mich bei Tabs zu wenig aus, um zu wissen, welche Tabs über einen SIM-Slot verfügen).

Nur ist die Begründung "zur Verbesserung der Netzqualität" bei einem Gerät ohne die entsprechende Funktionalität schwer nachvollziehbar, was CIQ betrifft -- warum ist das also auf dem Teil überhaupt vorhanden? Faulheit von Samsung, es in diesem Fall rauszulassen? Absicht zur Kundenbeschnüffelung? Zur "Sicherung/Verbesserung der Netzqualität" kann es ja nicht sein, da gar kein entsprechender Anschluss (wir reden hier vom Netz eines Mobilfunk-Anbieters, nicht von WLAN).

So, kleiner Nachtrag:

HTC und Sprint entfernen Diagnosesoftware von Carrier IQ

Bis zum nächsten Mal -- dann heißt das Kind anders, wird auch wieder entdeckt, muss auch wieder entfernt werden... Hase und Igel halt...

Und was ist mit den anderen Herstellern & Netzbetreibern? Die lassen alles beim Alten? 4 Tage nach diesem Artikel, aber mir ist noch nichts weiteres über den Weg gelaufen. Vielleicht hoffen sie einfach, dass es keiner merkt...