Der Spion auf meinem Telefon
Ein YouTube-Video brachte alles ins Rollen: Es zeigte, wie ein Smartphone haufenweise brisante Daten wie Eingaben, Positionsdaten und SMS speichert. Als Verdächtiger war schnell spezielle Diagnosesoftware von Carrier IQ ausgemacht. Obwohl sich das nicht zum befürchteten Datenschutz-GAU entwickelte, bleibt ein mulmiges Gefühl.
Auf den vom US-Provider Sprint vertriebenen Android-Smartphones HTC EVO ist eine App vorinstalliert, die brisante Daten mitschreibt, wie der Systemadministrator Trevor Eckhart Ende November in einem YouTube-Video aufgezeigt hat. Als Verursacher identifizierte er eine spezielle Software vom US-Unternehmen Carrier IQ. Sie zeichne Tasteneingaben auf, lese SMS mit, erstelle ein Bewegungsprofil und speichere weitere Daten, sagte Eckhart.
Viele Hersteller und Provider gaben daraufhin bekannt, diese Software nicht einzusetzen, darunter auch die deutschen E-Plus, Telekom und Vodafone – O2 nutzt die Software vermutlich, gab aber an, keine persönlichen Daten gesammelt zu haben. Inzwischen hat Carrier IQ in einem PDF (siehe c’t-Link am Artikelende) ausführlich Stellung genommen und die Funktionsweise der Software erklärt. Die Sammelwut des gefilmten HTC-Handys sei demnach ein Fehler von HTC, aber eigene Fehler räumte Carrier IQ auch ein. Der Security-Experte Dan Rosenberg bestätigt auf seinem Blog die Angaben von Carrier IQ.
Bei der fraglichen Software handelt es sich um ein Diagnose-Tool, das Mobilfunkprovidern bei der Verbesserung ihrer Netze helfen soll, indem es gewisse Informationen auf den Handys sammelt. Es ist für mehrere Smartphone- und Featurephone-Betriebssysteme erhältlich, aber auch für Tablets und UMTS-Modems – über 141 Millionen Mobilgeräte hat Carrier IQ nach eigenen Angaben versorgt.
Im Normalfall sammelt demnach der IQ Agent genannte Teil der Software verschiedene Parameter der Mobilfunkverbindung und die Nummern ein- und ausgehender Anrufe, aber auch Daten wie die GPS-Position und die aufgerufenen Webadressen. Diese Daten landen in einer verschlüsselten Logdatei auf dem Smartphone, in der kein Eintrag älter als eine Woche sein soll.
Regelmäßig schickt das Telefon einen Auszug der Daten an den Provider, im Normalfall einmal täglich etwa 200 KByte. Das würden die Provider nicht auf das Volumen des Mobilfunkvertrags anrechnen. Periode und Umfang der gesendeten Daten kann der Provider steuern.
Zudem können der Nutzer mit einer bestimmten Tastenkombination und der Provider mit einer speziellen SMS ein Senden der Daten veranlassen – daher muss die App Tasteneingaben und SMS mitlesen. Weder Tastendrücke noch SMS werden aber in der Logdatei gespeichert.
Der IQ Agent kann auf drei Arten installiert werden, wobei die Embedded-Variante am verbreitetsten ist. Dabei muss der Gerätehersteller ein Modul ins Betriebssystem einbauen, das die zu sammelnden Daten mit einer speziellen API dem IQ Agent zur Verfügung stellt.
Fehlverhalten
Ein Fehler im IQ Agent ist Carrier IQ nun aufgefallen: Unter besonderen Umständen wird der Inhalt einer SMS an den Provider geschickt. Das trete auf, wenn eine SMS während eines Anrufs oder einer aktiven Datenverbindung eintreffe, so Carrier IQ.
Die Datensammelwut des HTC-Handys erklärt dieser Fehler nicht, den schwarzen Peter dafür schiebt Carrier IQ zu HTC: Der Gerätehersteller habe das Modul fehlerhaft implementiert, das die zu sammelnden Daten an den IQ Agent schickt. Es sei ein Debug-Modus aktiv, der alle Daten zusätzlich im Klartext in eine Android-Logdatei schreibt.
HTC hat auf diesen Vorwurf noch nicht reagiert, sondern nur vorab gesagt, selbst keine Daten zu sammeln.
Löschen lässt sich die Embedded-Variante nicht, sondern nur über ein Firmware-Update entfernen – oder per Rooten und Einspielen eines Alternativ-Androids wie CyanogenMod.
Stellungnahmen
In Europa liefere man nur Handys ohne die Logging-Schnittstelle aus, bekräftigte HTC, sie sei lediglich von einigen US-Providern gefordert worden. Auch Motorola installiere die Software nur auf Anfrage von Providern, Sony Ericsson würde sie in Europa nicht nutzen. Kunden von Carrier IQ sind laut eigenen Angaben die US-Betreiber Sprint und AT&T, aber auch die britischen Vodafone- und Telefonica-Niederlassungen sowie Vodafone Portugal.
Google bekräftigte, die Software auf seinen Nexus-Geräten nicht einzusetzen. Blackberry-Hersteller RIM, Microsoft und Nokia sagten ebenfalls, die Carrier-IQ-Tools nicht zu nutzen.
Mit dem Android-Tool Carrier IQ Detector lässt sich (auch auf Telefonen ohne Root-Zugriff) herausfinden, ob die fragliche Software installiert ist. Sie findet bei den meisten in der c’t-Redaktion überprüften Smartphones und Tablets nichts, bis auf dem Samsung Galaxy Tab und dem Huawei X3: Die verdächtigen Dateien hält das Diagnosetool aber für inaktiv. Der IQ Agent selbst war auf keinem Gerät installiert.
Huawei sagte, diese Dateien seien unwirksam und könnten nicht aktiviert werden. Samsung konnte nach fast drei Wochen nichts Konkretes sagen.
Apple hat zugegeben, die Software bis iOS 4 installiert zu haben. Tatsächlich schicken iPhones gewisse Diagnoseinformationen an Apple, aber die gleichen Informationen fließen auch unter dem Carrier-IQ-losen iOS 5 – sie stammen also möglicherweise von einem Apple-eigenen Diagnosetool ohne Zusammenhang zu Carrier IQ.
Keine Bedrohung
Einerseits sind gerade die deutschen Nutzer vom Carrier-IQ-Skandal nicht betroffen, denn nirgends wurde ein IQ Agent gefunden. Auch gibt es keinen Hinweis darauf, dass die betroffenen US-Provider mit diesen Daten Missbrauch getrieben haben, zumal sie die meisten Informationen wie Telefonnummern, SMS, Standorte und Webzugriffe ihrer Kunden sowieso kennen. Berichte über Datendiebstahl liegen ebenfalls nicht vor, auch ist kein Weg bekannt, um woanders als bei HTC an eine auf dem Handy gespeicherte Logdatei zu kommen.
Andererseits reagiert die Branche lahm: Carrier IQ hat erst nach zwei Wochen eine umfassende Erklärung bereitgestellt, HTC hat auf deren Vorwürfe nicht reagiert, und einige Smartphone-Hersteller – darunter mit Samsung einer der weltgrößten – haben sich noch gar nicht geäußert. So bleiben einige Fragen unbeantwortet, beispielsweise ob eine böswillige App sich an die Logging-API dranhängen und selbst Daten sammeln kann. Transparenz sieht anders aus.
In den USA wurde inzwischen die erste Klage erhoben, und zwar gegen Samsung, HTC und Carrier IQ. Ein US-Senator hat von Carrier IQ, Providern und Herstellern ausführliche Informationen verlangt. In Deutschland hat das bayerische Landesamt für Datenschutzaufsicht eine Anfrage an Apple geschickt.
Der Internetrechtler Jonathan Zittrain und der Android-Sicherheitsexperte Dan Rosenberg haben die Mobilfunkindustrie aufgefordert, den Nutzern die Kontrolle des Datenverkehrs ihrer Geräte zu ermöglichen. Google-Chef Eric Schmidt wiederum sagte, dass es aufgrund der offenen Architektur von Android keine Möglichkeit gäbe, ein Tool wie Carrier IQ (das er Keylogger nannte) zu verhindern. Aber auch die Systeme von Apple oder Microsoft bieten keinen Schutz, räumen sie sich doch in den Nutzungsbedingungen das Recht ein, Diagnosedaten zu sammeln, worunter die von Carrier IQ fallen würden.
