von Alex Olma
1. Dezember 2011 – 12:22 Uhr

[update III] Carrier IQ: Chronologie eines Skandals

Die Eckpunkte des Themas ‘Carrier IQ‘ dürften bekannt sein. Hier ein Abriss des zeitlichen Verlaufs.

IPhoneBlog de Carrier IQ

Den Stein ins rollen brachte Trevor Eckhart mit seiner ursprünglichen Software-Analyse, die XDA-Developers.com mit “The Rootkit Of All Evil” und “More on Carrier IQ” Mitte November aufgriff:

Carrier IQ sells rootkit software included on many US handsets sold on Sprint, Verizon and more. Devices supported include android phones, Blackberries, Nokias, Tablet devices and more.

Am 16.11. antwortet Carrier IQ mit einer Pressemitteilung (PDF-Link) und beschreibt am 20.11. in einem YouTube-Kommentar sein Produkt.

DirektCarrierIQ

Am 21.11. stellt Carrier IQ eine Abmahnung an Trevor Eckhart zu. Der Android-Entwickler wendet sich daraufhin an die Electronic Frontier Foundation.

Carrier IQ fired off a cease-and-desist letter to Eckhart, claiming that he infringed its copyrights and made unspecified “false allegations” about its software.

23.11. – Carrier IQ zieht das Abmahnschreiben zurück und entschuldigt sich.

“We are deeply sorry for any concern or trouble that our letter may have caused Mr. Eckhart, and in retrospect we realize that we would have been better served by reaching out to Mr. Eckhart to establish a dialogue in the first instance,” Larry Lenhart, the Mountain View, California company’s chief executive said in a letter (.pdf) to Eckhart’s attorney, Marcia Hofmann, a senior staff attorney with the Electronic Frontier Foundation.

29.11. – Eckart publiziert ein YouTube-Video, das den Carrier-IQ-Hintergrundprozess beim Ausspionieren der Suchanfragen zeigt sowie beim Abspeichern jeder einzelnen Benutzereingabe.

The Android developer who raised the ire of a mobile-phone monitoring company last week is on the attack again, producing a video of how the Carrier IQ software secretly installed on millions of mobile phones reports most everything a user does on a phone.

DirektCarrierIQ

In der vergangenen Nacht nimmt John Gruber die Carrier-IQ-Pressemitteilung vom 16.11. auseinander:

“Each customer is different and our technology is customized to their exacting needs and legal requirements.”

Don’t sue us, sue them.

Grant “@chpwn” Paul findet Carrier-IQ-Einträge in iOS. Diese scheinen sich nach seiner Auffassung allerdings auf Diagnose-Daten zu beschränken, die dem Rahmen der Carrier-IQ-Produktbeschreibung entspricht.

But is this version of Carrier IQ the same keylogger/rootkit as on Android? The answer appears to be: not quite. It does access a reasonable amount of information, however. […] Importantly, it does not appear the daemon has any access or communication with the UI layer, where text entry is done. I am reasonably sure it has no access to typed text, web history, passwords, browsing history, or text messages, and as such is not sending any of this data remotely.

‘The Verge’ rückt kurze Zeit später die Mobilfunkanbieter in den Mittelpunkt.

The Google Nexus One, Nexus S, Galaxy Nexus, and the original Xoom tablet do not contain Carrier IQ software. Each of those devices was launched in direct partnership with Google as the flagship for a new version of Android, so it seems that the addition of Carrier IQ comes from OEMs and carriers after Google open-sources Android’s code.

Seth Weintraub von 9to5Google stimmt zu.

Carrier IQ is something that Carriers put on phones as part of their OEM software. This is out of the hands of both Google and the manufacturers. [...] Google’s Nexus devices don’t have Carrier IQ on them no matter what carrier they are on. Pure Android devices and many Android devices don’t have it. The carrier determines what products get the software. Google is powerless to stop carriers from putting them on Android devices.

Forbes spricht mit Jura-Professor Paul Ohm, der einen berechtigten Anlass zur Klage sieht.

“If CarrierIQ has gotten the handset manufactures to install secret software that records keystrokes intended for text messaging and the Internet and are sending some of that information back somewhere, this is very likely a federal wiretap.” he says. [...]

Nokia bestreitet die Verwendung eines Carrier-IQ-Produkts auf ihren Geräte.

A Nokia spokeswoman said CarrierIQ does not ship products for any Nokia devices

Weitere Statements betroffener Hardware-Produzenten, Mobilfunkanbieter und Betriebssystem -Hersteller stehen zum jetzigen Zeitpunkt aus.

Update

18:55 Uhr: Blackberry-Hersteller Research in Motion sowie US-Mobilfunkprovider Verizon geben unmissverständlich zu Protokoll, die Software von Carrier IQ nicht einzusetzen. Auch die deutschen Netzbetreiber erhalten nach eigenen Aussagen keine Nutzerdaten auf diesem Weg, fragen bei ihren (Hardware-)Geschäftspartnern aber mal nach, was in deren Geräte-Firmware so vor sich geht.

Mittlerweile schrieb US-Senator Al Franken einen offenen Brief an Carrier IQ und möchte über das “Wann, Was und Wieso” bis zum 14. Dezember informiert werden.

20:48: Die Geschichte ist mittlerweile ein Krimi. HTC lässt sich offiziell mit der Aussage zitieren, dass einige US-Mobilfunkanbieter die Verwendung von Carrier IQ verlangen. US-Netzbetreiber Sprint schrieb zuvor in ein Statement, den Dienst von Carrier IQ zu verwenden aber keinen Zugriff auf die persönlichen Telefoninhalte zu besitzen.

22:44 Uhr: Und auch Apple gibt sein Statement ab und bestätigt den aktiven ‘Opt-in’ vom Nutzer – sowie den eigenen ‘Opt-out’ von Carrier IQ.

We stopped supporting Carrier IQ with iOS 5 in most of our products and will remove it completely in a future software update. With any diagnostic data sent to Apple, customers must actively opt-in to share this information, and if they do, the data is sent in an anonymous and encrypted form and does not include any personal information. We never recorded keystrokes, messages or any other personal information for diagnostic data and have no plans to ever do so.

  • Autopoiese

    Seth Weintraub heißt der Autor von 9to5google.com.
    Da hat dich Autocorrect reingelegt.

    Wenn die Carrier die Software bestimmen, ist die auf deutschen Geräten vielleicht nicht drauf.

    • http://www.iphoneblog.de iphoneblog

      Danke. Ist ausgebessert.

    • Anonymous

      Sollte man nachprüfen. In dem Video ist zumindest der Name HTC mit dem Dienst verknüpft und das ist kein “Carrier”.

  • dermattin

    Ich habe das in ein paar Foren diskutiert, wenn es nicht Apple betrifft, ist es kein Skandal.

    • Stefan

      Das Wort Skandal habe ich hier bei Apples Datensammelaktionen noch nicht lesen dürfen. Aber klar, das waren ja auch Features.

      • dermattin

        Es heisst auf Neudeutsch IrgendwasGate. Jetzt erinnerst du dich sicher.

  • http://twitter.com/oli61 Oliver Eichhorn

    Gute Zusammenfassung -> flattr-Subscription :-)

  • http://twitter.com/s2bproject Simon Praetorius

    Gute Zusammenfassung, danke.

  • Alex

    Sowas gehört von den Kunden hart abgestraft! Niemand sollte auch nur noch ein Handy kaufen wo sowas oben ist! Gibt es eigentlich noch irgendwelche Details zur iPhone ausführung von Carrier IQ?

    Warum steht hier “Zeige 5 von 8 Kommentare” wo sind die restlichen 3 Stück?

    • Alex

      lol ich habe den “mehr kommentare laden” button übersehen, dachte da sind spam kommentare dabei die ausgeblendet werden oder so

    • Pupsi2000

      Damit der Kunde das abstrafen kann, muss er erst einmal davon wissen. Apple hat ähnliche Mechanismen, die jeder von uns mit den AGB abgehakt hat. Nur wer liest schon 60 Seiten AGBs?

      • http://www.iphoneblog.de iphoneblog

        Die Bestimmungen für ‘Diagnostics & Usage’ sind keine 60 Seiten sondern klar verständliche 300 Wörter.

        -> Settings → General → About → Diagnostics & Usage → “About Diagnostics and Privacy”

  • Boxi

    hm, sprich apple hat den mist genauso mitgemacht. also kein bisschen besser. :( (und da hab ich mich erstmal mit meinem iphone “besset” gefühlt).

iPhoneBlog–Social

Support

App Store

Wer eine beliebige iPhone-App im App Store über diesen Link kauft, seinen Mac mit Software aus dem Mac App Store beglückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Flattr verteilt Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!

Archiv

Gastfreundschaften