(Bilde: Marius Jørgenrud)

Carrier IQ kan være storm i vannglass

Selskapet benekter spionvare-påstandene og får støtte fra sikkerhetsekspert.

Oppdagelsen om at en antatt spionvare kalt Carrier IQ skal være forhåndsinstallert på millioner av mobiltelefoner, slo ned som en bombe den siste uken. Nå kan det vise seg at skandalen er noe mindre enn først antatt.

Selskapet som står bak Carrier IQ-programvaren, som også heter Carrier IQ, skryter på hovedsiden til selskapets nettsted at programvaren er installert på over 140 millioner mobiler. Men selskapet benekter at programvaren brukes til å spionere på mobilbrukere, men til å lage analyser av brukeropplevelsene på mobiler.

– Mens noe få personer har identifisert at det er en mengde informasjon som er tilgjengelig for Carrier IQ-programvaren i håndsettet, utfører vår programvare verken registrering, lagring eller overføring av innhold i SMS-meldinger, e-post, fotografier, lyd eller video, opplyser selskapet i en uttalelse som er gjengitt av blant annet Los Angeles Times.

Det var Trevor Eckhart, en Android-utvikler og systemadministrator, som i forrige uke beskyldte Carrier IQ for å overvåke alle tastetrykk, stedsangivelse, tekstmeldinger og selv nettsurfing over krypterte forbindelser på en lang rekke mobiltelefoner.

Nå får selskapet støtte fra en sikkerhetsekspert ved Virtual Security Research, Dan Rosenberg, som overfor Los Angeles Times sier at påstandene til Eckhart ikke stemmer. Han mener at videoen som Eckhart har laget bare viser diagnoseinformasjon og på ingen måte beviser at data blir lagret eller sendt tilbake til Carrier IQ.

– Jeg har selv reverskodet programvare på et temmelig godt detaljnivå. De registrerer ikke informasjon om tastetrykk, de bruker tastetrykk-hendelser som en del av applikasjonen, forteller Rosenberg til Los Angeles Times.

Denne denne vesle forskjellen anses som viktig. Svært mange applikasjoner er avhengige av å registrere tastetrykk for å fungere, uten at de av den tar vare på informasjon om tastetrykkene, og langt mindre sender den videre til leverandøren av applikasjonen.

Rosenberg mener at det i Carrier IQ er en total mangel på kode som indikerer at tastetrykk registreres eller sende over Internett av mobilen.

Langt fra alle mobiler er utstyrt med Carrier IQ. En oversikt som Engadget har laget, tyder på at det stort sett er mobiler solgt via en del amerikanske mobiloperatører som har denne programvaren installert. Dette inkluderer AT&T, T-Mobile og Sprint, men ikke blant annet Bell og Verizon. Flere mobilleverandører, blant annet HTC og Samsung, bekrefter at de har forhåndsinstallert Carrier IQ på mobiler som selges gjennom en del mobiloperatører, fordi operatørene krever dette.

Men i samtlige tilfeller opplyses det at programvaren ikke brukes til å registrere personlige opplysninger, men primært til å analysere nettverksytelse for å identifisere hvor denne bør forbedres.

Et særtilfelle dette er Apple. Ifølge en uttalelse til All Things Digital forteller selskapet at det selv har brukt Carrier IQ.

– Vi stoppet å støtte Carrier IQ med iOS 5 i de fleste av våre produkter og vil fjerne det helt med en framtidig programvareoppdatering, uttaler selskapet. Det sendes ingen diagnosedata til Apple med mindre brukeren aktivt samtykker til dette på forhånd, og dataene som sendes er både anonymiserte og krypterte.

– Vi har aldri registrert tastetrykk, meldinger eller annen personlig informasjon som diagnosedata og har ingen planer om noensinne å gjøre dette, opplyser Apple.

Google opplyser at selskapet ikke har noen tilknytning til Carrier IQ. Ingen av Nexus-mobilene skal være utstyrt med programvaren. Ingen Nokia- eller BlackBerry-mobiler skal ha blitt levert med programvare. Det samme gjelder mobiler med webOS eller Windows Phone.

    Les også:

Til toppen