Carrier IQ schiebt HTC die Verantwortung für Datenleck zu

Der Datenanalyse-Spezialist Carrier IQ (CIQ) weist die Verantwortung dafür zurück, dass sensitive Aufzeichnungen über Nutzer-Aktionen auf einem Smartphone des Herstellers HTC einfach zugänglich und im Klartext abgespeichert wurden. Offenbar hat HTC einen Weg für die Implementierung der CIQ-Anwendung beschritten, durch den einfach auf die Log-Files zugegriffen werden konnte, geht aus einem Bericht des US-Magazins The Verge hervor. Der 25-jährige System-Administrator Trevor Eckhart hatte die im Hintergrund aktive Anwendung auf einem Android-Smartphone von HTC entdeckt.

Die CIQ-Software wird entweder direkt in das Betriebssystem des Smartphones integriert oder später beispielsweise von den Mobilfunkbetreibern, die das Gerät verkaufen, als eine "third party application" installiert. Im zweiten Fall hat die CIQ-Software keinen direkten Zugriff auf die für die Netzbetreiber interessanten Daten, sondern nutzt eine spezielle API. Der Hersteller ist dann dafür verantwortlich, das Betriebssystem so zu modifizieren, dass es die zu loggenden Daten der CIQ-Software über diese API übergibt – also in diesem Fall HTC.

CIQ halte in einem bestimmten Bereich des Smartphones ein Logfile vor – und zwar nicht im Klartext und nur mit Hilfe von CIQ-Tools verwertbar, heißt es weiter in dem Bericht. Das Logfile werde ständig mit neuen Daten überschrieben, wobei keine Daten älter als sieben Tage alt sind. CIQ-Marketingmanager Andrew Coward erläuterte in einem Interview mit dem Register, die Daten seien für Carrier nur relevant, wenn ein Smartphone abstürzt oder ein Gespräch unerwartet unterbrochen werde. Die dann an die Mobilfunkbetreiber übermittelten Daten könnten dann helfen, mögliche Netzwerkprobleme aufzuspüren.

SMS und bestimmte Tastenfolgen können dazu benutzt werden, bestimmte CIQ-API zu aktivieren und Diagnose-Daten zu übermitteln, erläuterte Coward. Das sei der Grund, warum beispielsweise SMS von der CIQ-Anwendung beobachtet werden. Die Inhalte der Kurzmitteilungen würden aber niemals gespeichert oder übermittelt.

Der Android-Sicherheitsexperte Dan Rosenberg bestätigte nach einer Analyse diese Darstellung. Auch wenn auf den ersten Blick im Zusammenhang mit der CIQ-Software keine bösen Absichten erkennbar seien, stellte Rosenberg aber auch einige Forderungen auf. So sollten die Verbraucher die Möglichkeit haben, derartige Datensammelei abzulehnen. Es müsse transparent werden, welche Daten festgehalten werden, um Missbrauch – auch durch Dritte – vorzubeugen.

Siehe dazu auch:

• Ein Detector, weitere Dementis und erste Klagen
• Apple will Carrier-IQ-Software komplett entfernen
• US-Senator fordert Aufklärung über Spionage-Software auf Smartphones
• Carrier IQ: Der Spion, der mit dem Smartphone kam?

(anw)