Carrier IQ: Der Spion, der mit dem Smartphone kam?
Was für Netzbetreiber ein wertvolles Werkzeug für die Qualitätssicherung sein soll, ist für andere ein "Rootkit": Eine App des US-Unternehmens Carrier IQ sorgt für Aufregung. Schneidet die Anwendung private Daten von Millionen Nutzern mit?
Eine auf Millionen Smartphones verschiedener Hersteller installierte Software hat offenbar weitreichenden Zugriff auf Nutzungsdaten der Geräte samt persönlicher Daten wie etwa SMS-Texte oder Google-Suchen. Die vom US-Unternehmen Carrier IQ entwickelte Software soll der Qualitätssicherung von Herstellern und Netzbetreibern dienen. Eigenen Angaben zufolge hat Carrier IQ die Software für über 140 Millionen Handys ausgeliefert. Unklar ist bisher, ob und in welchem Umfang die erfassten Daten an Dritte übermittelt werden.
Entdeckt hatte die im Hintergrund aktive Anwendung der 25-jährige System-Administrator Trevor Eckhart auf seinem Android-Smartphone von HTC. Seinen Erkenntnissen zufolge, die er Mitte November auf seinem Blog veröffentlicht hat, kann die Software bei definierten Ereignissen verschiedene Gerätedaten protokollieren. Damit lässt sich die Anwendung offenbar auf die Bedürfnisse von verschiedenen Herstellern und Netzbetreibern anpassen. Zudem versucht sich die Anwendung zu tarnen und lässt sich nicht vom Besitzer des Smartphones deaktivieren. Eckhart klassifiziert die App als "Rootkit".
Carrier IQ hatte auf die Veröffentlichung Eckharts mit einer weitreichenden Abmahnung und Unterlassungsforderung (PDF-Datei) reagiert, diese aber später mit einer Entschuldigung zurückgezogen. Die US-Bürgerrechtsorganisation Electronic Frontier Foundation war dem 25-Jährigen zur Seite gesprungen und hatte die Forderungen des Unternehmens als vollkommen grundlos zurückgewiesen.
Zusammen mit der Entschuldigung für die "fehlgeleitete" Anwalt-Attacke bemüht sich das Unternehmen um Schadensbegrenzung. "Die Carrier-IQ-Software zeichnet Ihre Tasteneingaben nicht auf", betont der Hersteller in einer Mitteilung (PDF-Datei). Die Software erfasse und übermittle nicht die Inhalte von Kommunikationsvorgängen. Carrier IQ übermittle darüber hinaus an keinen Kunden Daten in Echtzeit, heißt es von der Firma weiter. Aus dieser Formulierung lässt sich schließen, dass Daten in irgendeiner Form an Carrier IQ übermittelt und dort für die Kunden ausgewertet werden.
Unklar ist auch noch, auf welchen Geräten die Carrier-IQ-App installiert ist. Nachgewiesen wurde die Software bisher offenbar nur auf Android-Geräten von HTC in den USA. heise online konnte die Software auf keinem der in der Redaktion überprüften Testgeräte verschiedener Hersteller nachweisen. In Apples iOS wurden Spuren der Software gefunden. Allerdings sollen Daten nur in eingeschränktem Umfang erfasst werden, wenn das Gerät im Diagnosemodus ist. [Update: Ein Sprecher von Apple Deutschland will das auf Anfrage nicht kommentieren.]
Auch Blackberrys sollen betroffen sein, doch Hersteller RIM weist jede Verbindung zu Carrier IQ zurück: "Weder installiert RIM die Carrier-IQ-App auf Blackberry Smartphones, noch erlaubten wir unseren Netzbetreiber-Partnern, die Anwendung vor Verkauf oder Vertrieb zu installieren." Auch Sony Ericsson setze Carrier IQ in Europa nicht ein, erklärte ein Sprecher gegenüber heise online.
Unbestätigten US-Berichten zufolge sollen auch Geräte von Nokia betroffen sein. Ein Nokia-Sprecher betont dagegen, dass Carrier IQ keine Anwendungen für Nokia-Geräte liefert. Auch HTC besteht in einer Stellungnahme auf der Feststellung, dass der Hersteller keine direkte Geschäftsbeziehung zu Carrier IQ pflege. "Carrier IQ wird für die Geräte einiger US-Netzbetreiber verlangt", erklärt HTC und verweist auf die Netzbetreiber. Unterdessen will der Hersteller die Möglichkeit prüfen, ob Smartphone-Besitzer der Datensammelei nicht widersprechen können sollen. Andere Hersteller haben kurzfristig noch keine Stellungnahme abgegeben.
Es sieht also ganz danach aus, dass die US-Netzbetreiber auf den Einsatz der Schnüffelsoftware bestehen. Allerdings steht mit Huawei auch ein weltweit aktiver Gerätehersteller auf der Kundenliste von Carrier IQ; zudem unterhält Vodafone Portugal Geschäftsbeziehungen zu dem US-Anbieter. Ein Sprecher von Vodafone-Deutschland betont jedoch gegenüber heise online, dass die Software hierzulande bei Vodafone nicht eingesetzt werde.
[Update: Die Telekom nutzt die Software nach Angaben eines Sprechers nicht und erhält auch keine Daten. Der deutsche Netzbetreiber könne aber nicht abschließend sagen, ob und in welcher Firmware die Software eventuell in den Geräten der Hersteller zum Einsatz kommt. "Wir werden unsere Geschäftspartner bitten, umfänglich über implementierte Anwendungen zu informieren", erklärte das Unternehmen gegenüber heise online. Auch der Netzbetreiber O2 steht im Austausch mit den Herstellern. "Nach unserem jetzigen Kenntnisstand wurden keinerlei Kundendaten an uns übermittelt", sagte eine Sprecherin. E-Plus setzt die Software nach Angaben eines Sprechers ebenfalls nicht ein.]
Ein Sprecher des US-Netzbetreibers Sprint betonte laut US-Medien, das Unternehmen habe mit den von Carrier IQ gestellten Werkzeugen keinen direkten Zugriff auf Nachrichten, Bilder oder andere Inhalte. Außer Sprint habe kein Dritter Zugang zu den übermittelten Daten. (vbr)
