Der 25-jährige Android-Entwickler Trevor Eckhart aus des USA hat kürzlich eine Spionage-Software entdeckt, die den Namen Carrier IQ trägt und die auf Millionen moderner Smartphones mit Android-Betriebssystem und auf Geräten der Hersteller RIM und Nokia installiert sein soll. Eckhart hat Carrier IQ analysiert und bezeichnet die Software als "Rootkit".
Dem widerspricht allerdings der Hersteller der Software. In einem vor einigen Tagen aufYoutube veröffentlichten Video behauptet Carrier IQ, dass die Software keinerlei Eingaben der User ausspäht, sondern den Smartphone-Herstellern und den Mobilfunknetzbetreibern dabei helfe zu verstehen, wie beispielsweise die Anwender das Smartphone nutzen, worunter die Akku-Laufzeit leidet oder warum Apps abstürzen. Alle Daten, so das Unternehmen weiter, würden anonym gesammelt.
Mittlerweile hat Trevor Eckhart aber nachgelegt und folgendes 17-minütiges Video auf Youtube veröffentlicht, in dem er seine Vorwürfe gegen Carrier IQ untermauert und demonstriert, dass die Spionagesoftware sehr wohl Eingaben der User aufzeichnet und die Daten nicht anonym gesammelt werden:
Im Video ist beispielsweise zu sehen, wie Eckhart die HTTPS-Variante von Google (https://www.google.de) nutzt, bei der die Suchanfrage zwischen dem lokalen Gerät und Google verschlüsselt übertragen werden, um zu verhindern, dass jemand diesen Datenverkehr ausspähen kann. Im Video demonstriert Eckhart aber, dass die Informationen über die Suchanfrage von Carrier IQ im Klartext erfasst und an das Unternehmen übertragen werden. Eckhart demonstriert an anderer Stelle, wie Carrier IQ die Eingabe jeder Telefonnummer protokolliert.
Der Smartphone-Besitzer kann laut einem Bericht der US-IT-Zeitschrift Wired die Spionagesoftware Carrier IQ nur dann abschalten, indem er sein Gerät rootet und das Betriebssystem ersetzt. Und selbst wenn der Smartphone-Besitzer nur über WLAN mit dem Internet verbunden ist, werden alle anfallenden Daten an Carrier IQ versendet.
Magere Datenschutzbestimmungen
Trevor Eckhart erläutert seinen Fund ausführlich auf seiner Website und fordert Carrier IQ dazu auf, genauere Details über die Funktionsweise ihrer Software zu enthüllen. Außerdem bemängelt er die mageren Datenschutzbestimmungen des Herstellers, die offen lassen würden, unter wessen Datenschutzbestimmungen die gesammelten Daten stehen. "Carrier IQ, der Smartphone-Hersteller, der Mobilfunknetzbetreiber? Keiner weiß es sicher", schreibt Eckhart.
Ein Angreifer, warnt Eckhart, könnte möglicherweise eine Sicherheitslücke oder Malware nutzen, um mit allen Rechten von Carrier IQ auf das Smartphone zurückzugreifen. Dieser Angreifer könnte auf dieser Art und Weise an Massen von Informationen gelangen und der Smartphone-Besitzer hätte keinerlei Möglichkeiten, sich dagegen zu wehren.
Abschließend fordert Trevor Eckhart, dass die Smartphone-Besitzer in der Lage sein sollten zu entscheiden, ob Carrier IQ auf ihrem Smartphone aktiv sein darf oder nicht. Und er warnt: "Eine Applikation sollte allein schon aus Sicherheitsgründen nicht so schwer zu entfernen sein, wenn sie keinen guten Zweck für den User erfüllt."