Η αποκάλυψη ενός λογισμικού παρακολούθησης άνευ προηγουμένου κορυφώθηκε στις 30 Νοεμβρίου. Η υπόθεση παραβίασης και καταγραφής δεδομένων χρήσης και επικοινωνίας χρηστών smartphones είναι πρωτοφανής, για δύο λόγους: πρώτον, την έκταση της παρακολούθησης, μιας και αφορά σχεδόν όλους τους κατόχους τηλεφώνων Android, Blackberry και Nokia. Δεύτερον, το βάθος της παρακολούθησης, αφού όπως φαίνεται τα δεδομένα που καταγράφονται είναι εξονυχιστικής λεπτομέρειας.

Η πέτρα του σκανδάλου είναι οι εφαρμογές "IQAgent" και "IQRD" της, άγνωστης στο ευρύ κοινό μέχρι χθες, εταιρίας "Carrier IQ". Οι δύο εφαρμογές έρχονται προεγκατετημένες στα περισσότερα smartphones Android, Blackberry και Nokia και συνεργάζονται για να παρέχουν τη λειτουργικότητα που εξηγείται στη συνέχεια. Στο εξής για συντομία οι δύο αυτές συνεργαζόμενες εφαρμογές θα αναφέρονται ως "CIQ".

Η ιστορία ξεκίνησε όταν ένας προγραμματιστής συσκευών Android ονόματι Trevor Eckhart ανέβασε στο site του "Android Security Test" (το οποίο μπορείτε να προσπαθήσετε να επισκευθείτε κάνοντας κλικ εδώ, αλλά βρίσκεται συχνά offline λόγω υπέρμετρης επισκεψιμότητας) έγγραφα της Carrier IQ και απέδωσε στο CIQ το χαρακτηρισμό "rootkit". Rootkit ονομάζεται το λογισμικό που έχει πρόσβαση σε κάθε λειτουργία μιας συσκευής προς όφελος τρίτου, κρυφά από το νόμιμο κάτοχο της συσκευής, οπότε μπορείτε να καταλάβετε τη βαρύτητα του χαρακτηρισμού. Στο κείμενό του, ο Τρέβορ ισχυρίζεται ότι το CIQ καταγράφει με λεπτομέρεια πάτημα προς πάτημα κουμπιού τη χρήση των κινητών στα οποία είναι εγκατεστημένο.

Η απάντηση της Carrier IQ ήταν άμεση: απείλησε τον Τρέβορ με αγωγή 150.000 δολαρίων, απαίτησε την άμεση ανάκληση του χαρακτηρισμού “rootkit” και την απόσυρση των εγγράφων της από το site του (ενώ υπήρχαν δημόσια στο δικό της), και δήλωσε ότι το CIQ δεν έχει τις δυνατότητες που του αποδίδονται.

Τη Δευτέρα 28 Νοεμβρίου, το ίδρυμα Electronic Frontier Foundation έσπευσε προς υποστήριξη του Τρέβορ και η Carrier IQ απέσυρε τη νομική απειλή αντιλαμβανόμενη τις διαστάσεις που μπορεί να λάβει η υπόθεση -ήταν όμως ήδη αργά.

Στις 30 Νοεμβρίου, με την υποστήριξη του EFF, ο Τρέβορ επανήλθε με ένα επεξηγηματικότατο βίντεο, το οποίο αποδεικνύει τους ισχυρισμούς του. Στη συνέχεια του παρόντος εξηγούνται (στο βαθμό που είναι γνωστά προς το παρόν) η λειτουργία της υπηρεσίας που παρέχει η Carrier IQ και οι λεπτομέρειες που αποκαλύφθηκαν χθες για τη λειτουργία του λογισμικού της.

Τι πουλάει η Carrier IQ

Οι πελάτες της Carrier IQ είναι οι πάροχοι κινητής τηλεφωνίας κατά κύριο λόγο αλλά και οι κατασκευαστές των συσκευών. Το λογισμικό παρακολούθησης CIQ εγκαθίσταται στα smartphones πριν πωληθούν στους κατόχους τους. Η εταιρία παρέχει το λογισμικό παρακολούθησης, την υποδομή συγκέντρωσης του γιγάντιου όγκου δεδομένων από εκατομμύρια smartphones αλλά και το service της επεξεργασίας τους και μετατροπής τους σε μαρκετίστικα και τεχνολογικά χρήσιμα συμπεράσματα. Δύο παραδείγματα παρεχόμενης πληροφορίας στον αντίστοιχο πελάτη για να γίνει αντιληπτή η παρεχόμενη υπηρεσία:

• Στον πάροχο: πόσο εκτεταμένη είναι η χρήση ενός τρίτου application (π.χ του Facebook) ανάλογα με το προφίλ του χρήστη του τηλεφώνου ή με την προεγκατάσταση του.
• Στον κατασκευαστή: για ποιο λόγο μπορεί να «κράσαρε» ένα application.

Το παραπάνω σχεδιάγραμμα απεικονίζει την υπηρεσία της Carrier IQ από το τηλέφωνο του χρήστη ως τον πελάτη της: το software της Carrier IQ που είναι εγκατεστημένο στα smartphones των χρηστών μεταδίδει τα δεδομένα από τα smartphones στην υποδομή της. Η υποδομή τα συλλέγει, τα αποθηκεύει, τα κάνει aggregate, τα αναλύει (εξειδικευμένο software που τρέχει σε συστήματα της εταιρίας και χρησιμοποιεί metrics για ανάλυση συσκευών, "user experience" κτλ.) και τελικά παραδίδει τα αποτελέσματα της ανάλυσης στους πελάτες της.

Η αποκάλυψη της πραγματικής λειτουργίας

Ο Τρέβορ ανέβασε το εξής εντυπωσιακό ως προς τα ευρήματά του βίντεο, το οποίο εξηγείται συνοπτικά στη συνέχεια:

Στο πρώτο, δεύτερο και τρίτο μέρος του βίντεο αποδεικνύεται ότι το CIQ τρέχει στο smartphone της HTC κρυφά. Είναι αόρατο στο μενού των τρεχόντων εφαρμογών και είναι αδύνατη η διακοπή της λειτουργίας του στο background.

Τα πράγματα όμως γίνονται εξαιρετικά ενδιαφέροντα στο τέταρτο μέρος: Ο Τρέβορ συνδέει το τηλέφωνο στον υπολογιστή και παρακολουθεί το σύστημα (δηλαδή τη λειτουργία του Android) με το “USB debugging” application που είναι μέρος του περιβάλλοντος ανάπτυξης εγαρμογών Android. Τα ευρήματά του ξεπερνούν τη φαντασία:

• Στο 8’42” του βίντεο ο Τρέβορ δείχνει ότι το CIQ καταγράφει  κάθε πάτημα κάθε κουμπιού της συσκευής (hardware). Ενδιαφέρον είναι ότι αυτό συμβαίνει ενώ το τηλέφωνο είναι σε airplane mode, δηλαδή δεν έχει πρόσβαση σε δίκτυο τηλεφωνίας και άρα ούτε 3G, επομένως η καταγραφή δεν ενδιαφέρει (άμεσα τουλάχιστον) τον πάροχο.
• Στο 11’35” καταδεικνύεται ότι το CIQ καταγράφει κάθε κουμπί του dialer του τηλεφώνου που πατιέται.
• Στο 12’22” ο Τρέβορ έχει βάλει το τηλέφωνο στο δίκτυο τηλεφωνίας και στέλνει sms στο εξεταζόμενο smartphone από άλλο δικό του κινητό. Το σύστημα δείχνει ότι το CIQ διαβάζει τόσο τον αποστολέα του μηνύματος όσο και το ίδιο το μήνυμα πριν καν το sms καταλήξει στο κανονικό inbox του χρήστη.
• Στο 13’43” το τηλέφωνο είναι πάλι εκτός δικτύου τηλεφωνίας (airplane mode) και συνδεδεμένο στο internet μέσω WiFi. Ο Τρέβορ κάνει αναζήτηση με http secure στη σελίδα της google (μπορείτε να κι εσείς κάνετε συνδεόμενοι στο https://www.google.com αντί για το σύνηθες http://www.google.com). Το http secure (https) διασφαλίζει ότι τα keywords που στέλνετε στην Google, βάσει των οποίων γίνεται στη συνέχεια η αναζήτηση, αποστέλλονται κρυπογραφημένα, ώστε κανείς ενδιάμεσος (“man in the middle” στην τεχνική slang) να μην μπορεί να τα διαβάσει αν καταφέρει να διαμεσολαβήσει μεταξύ εσάς και της Google. Παρόλα αυτά το CIQ διαβάζει τα keywords της αναζήτησης κανονικά.