最近網路上一直在討論Carrier IQ(一個被預載在手機裡用去監控網路和手機性能的應用程式)和跟它有關的個人隱私問題。
在關於Carrier IQ的報導裡提出了許多問題,關於它所收集的資料,它不經由使用者同意就預裝在某些手機的情形,還有使用者可以怎麼去處理它。
跟據這些報告,Carrier IQ會記錄像是收發簡訊、進行網路搜尋和被鍵入的電話號碼等資訊。這些行為都在Trevor Eckhart所發表的影片內被證實,他是最先對Carrier IQ提出質疑的研究人員。
全都是服務的一部分
讓我們想一想Carrier IQ的目的。它是設計來監看網路和手機性能的應用程式。這些電信業者可以經由是否正常提供服務來評估自己的表現,像是簡訊、電話、網路還有其他的服務。
以這為前提,我們可以說收集跟上述手機功能相關的使用情況是很有道理的,甚至對電信業者來說是必要的,才能有效地監控他們所提供的服務跟解決任何問題。
我們就這問題跟趨勢科技的研究人員Rik Ferguson討論過,他指出Eckhart的影片是在詳細除錯模式下進行的,並不真正代表Carrier IQ真正被安裝在手機上的行為。根據開發商的說法,Carrier IQ的確會記錄發簡訊時的按鍵,但是Carrier IQ只是去辨認按鍵順序以用來執行本地端命令。像是當你打電話給技術支援時,鍵入「現在上傳診斷結果」。它還可以監控傳入的簡訊,不過是針對電信商傳來的訊息以讓Carrier IQ執行指令。
開發商聲明:「這個應用程式被設計為會捨棄所有無關的資料,甚至是在本地端應用程式處理之前,更不要說會上傳到電信業者,所以這不算是一個顯著的個人隱私風險。」
對於這次問題的反應顯示了人們並不知道他們的手機功能有多依賴電信業者。人們似乎忘記了每一次收發簡訊,每一次打電話還有每一次的網路搜尋都會將他們的資訊送到另一個地方,這是伴隨這些動作所必然發生的行為。
經過使用者同意是必要的
我們認為Carrier IQ真正的問題是要通知使用者。使用他們服務的電信業者將Carrier IQ預載在手機上而且自動執行,讓使用者幾乎難以察覺。人們都希望可以自己管理自己的隱私,所以會有這些天的騷動是很理所當然的。
對於使用者來說,他們不知道有這樣的服務存在也沒有選項去選擇是否要提供資訊,那不管這服務是不是合法都一定會引起關注。
趨勢科技相信Carrier IQ不是惡意程式,它的行為也是必須的,但我們也認為應該讓使用者同意安裝程式和允許它的行為是非常重要的。
如果需要分享個人資訊,那應該要先告知使用者,還有會將資料分享給誰。使用者當然也要有能力可以管理資料的分享,更重要的是「預設關閉,選擇開啟」,而不是「預設開啟,選擇關閉」。
潛在的弱點
Rik同時也提到,像Carrier IQ這樣的應用程式最危險的潛在風險之一,是它讓犯罪分子所看到的單一物種生態系統。
如果Carrier IQ被發現了可以利用的漏洞,那它所內建的功能跟龐大的安裝數量對犯罪分子來說變成非常誘人的錢景。這也是最大的爭議點之一,它讓多個電信業者都部署了相同的程式碼,而沒有給使用者機會去決定是否接受這個程式。加上電信業者發表系統更新的時間是誇張的長,甚至是他們偏好的Android系統,讓這問題又變得更加嚴重。
想知道自己手機上是否有被安裝Carrier IQ的使用者,可以到Android應用程式市場下載趨勢科技行動安全防護for Android中文版的工具使用。
@原文出處:The Real Issues About Carrier IQ作者:趨勢科技Kervin Alintanahin(威脅分析師)
@延伸閱讀:
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android
app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
木馬化的Android 金幣海盜(Coin Priates)遊戲 監控回傳特定關鍵字簡訊
@開箱文與評測報告
TMMS 3.75 Stars in PC World AU
TMMS 3.75 Stars in PC World AU
@開箱文與評測報告
TMMS 3.75 Stars in PC World AU
◎ 免費下載防毒軟體:歡迎試用下載瞭解與試用
◎ 歡迎加入趨勢科技社群網站