Carrier IQ „CIQ“ protokolliert seit Jahren auf Handys unbescholtener Bürger – auch bei Dir?

Dezember 2, 2011 in Die Sicherheit

Was für eine News: Carrier IQ protokolliert seit Jahren unbemerkt personalisierte Daten von Handy-Nutzern und jeder könnte betroffen sein. Dagegen ist der Bundestrojaner ein Schaukelpferd!

Was ist Carrier IQ?

Carrier IQ ist eine Applikation für Handies und Smartphones, die Nutzerdaten aufzeichnen kann und diese automatisch hochlädt. Egal ob Symbian, Android, iOS oder was auch immer. Zu den aufgezeichneten Daten gehören:

  • Standort,
  • Verbindungsqualität,
  • Tastatureingaben,
  • Ladezustand
  • besuchte Webseiten,
  • besuchte verschlüsselte Webseiten
  • soll ich weiter machen?!
  • Was für ein Glück, dass der nicht auf meinem Gerät installiert ist? Da wäre ich mir nicht so sicher: Carrier IQ findet sich auf Geräten wieder, die direkt vom Hersteller oder Netzbetreiber stammen.
    Trevor Eckhardt fand dies Mitte November heraus und veröffentlichte seinen Fund unter http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/carrieriq-part2/Android Security Test.

    Wieso Carrier IQ?

    Angeblich benötigen die Provider das Programm um ausgefallene Handymasten zu erkennen, die Verbindungsqualität zu steigern und die Lücken und Schwächen im Netzausbau zu katalogisieren.

    Wie kommt Carrier IQ auf mein Handy?

    Carrier IQ kann direkt beim Hersteller in das Betriebssystem integriert oder von Netzbetreibern über eine eigene, angepasste Betriebssystemversion hineingeschmuggelt werden. Laut Der Standard bekennen sich Sprint und AT&T zum Einsatz der Software, um die Netzqualität zu überwachen und zu verbessern. Die Deutsche Telekom verneint gegenüber der Zeitung jeglichen Einsatz und will sich mit den Herstellern diesbezüglich in Verbindung setzen. Nokia soll nie die Software auf den eigenen Geräten installiert haben, Google bestätigt, auf keinen Geräten die Software einzusetzen, an denen man direkt beteiligt war, also den Nexus Geräten.
    Apple dagegen gibt zu, in iOS3 davon Gebrauch gemacht zu haben. Seit iOS5 wird nur noch das iPhone 4 überwacht – welch eine Erleichterung! … kommende Updates sollen die reste aus dem OS entfernen. Gegenüber heise wollte Apple die Restkrümel der Rootkits auf einem iPhone nicht kommentieren.

    Woran erkenne ich Carrier IQ auf meinem Gerät?

    Das geht nur sehr schwer. Trevor beschreibt, wie tief die beiden Prozesse „CIQ“ und „IQRD“ in das Betriebssystem eingebunden sind. So soll man unter Android-Geräten unter Menu -> Einstellungen -> Programme verwalten -> IQRD nachsehen. Findet sich dieser Eintrag, weiß mit hoher Wahrscheinlichkeit jemand in Amerika, wie hoch der momentane Kontostand ist. Auf anderen Betriebssystemen hat sich Trevor Eckhardt noch nicht umgeschaut, die tiefe Einbindung der Software läßt vermuten, dass man den Prozess nicht finden wird. Selbst wenn man fündig wird, es sei nicht möglich die Software zu deinstallieren, nur eine völlige Neukompilierung, eine komplette Neuinstallation durch ein nicht versuchtes Firmware würde helfen können.

    Wo ist es garantiert nicht drauf?

    Es macht den Anschein, als seien deutsche Geräte, mit Ausnahme von Apple iPhones, davon verschont geblieben. Heise vermeldet, dass weder die Deutsche Telekom, noch O2 oder E-Plus mit Carrier IQ aktiv zusammen arbeiten. Vodafone Portugal würde jedoch „Geschäftsbeziehungen“ unterhalten – Vodafone Deutschland setze sie ebenfalls nicht ein.

    Auf Android Geräten der Marke HTC besteht eine hohe Chance, immerhin hat Trevor Eckhardt dort das Rootkit, CIQ und IQRD gefunden. Unbestätigte Gerüchte sprechen von Nokia, ein Sprecher betonte jedoch Carrier IQ liefere keine Anwendung für Nokia-Geräte. Auch HTC pflegt keine direkte Beziehung zu Carrier IQ. Huawei dagegen steht in Kontakt mit der dubiosen Firma. Heise schließt die Möglichkeit nicht aus, dass Blackberrys mit CIQ infiziert sind, doch ein Sprecher weist das zurück: RIM installiert die Carrier App nicht aktiv und erlaubt den Netzbetreibern auch nicht die eigenmächtige Installation „vor Verkauf oder Vertrieb“, ist auf heise zu lesen.

    Jetzt genau, was schreibt Carrier IQ mit?

  • Hersteller des Gerätes und Betriebssystemversion
  • URL der Webseite, inklusive Der Formulareingaben oder Suchwörter
  • Inhalte und Eingaben von vershclüsselten Webseites per HTTPS!!!
  • Standort per GPS-Koordinaten, Uhrzeit
  • Verbindungsqualität, Paket Loss, Received, Ping, etc..
  • SMS, Wann, an Wen, Inhalt,
  • Tastatur-Eingaben
  • Display An/Aus
  • Signalstärke zum Mobilfunkmasten
  • Ladezustand
  • geöffnete Applikationen
  • welche Applikation im Vordergrund läuft
  • Das perfideste ist die Anbindung zum Browser. Normalerweise ist eine Webseite absolut sicher, wenn https:// davor steht. Onlinebanking läuft zum Beispiel darüber, der Onlineeinkauf wird hier geführt. Doch CIQ schafft es, sich in den Browser-Prozess zu klinken und alle Daten abzufangen. Dabei wird eine Log-Datei angelegt, jede andere App, die Log-Dateien ganz normal lesen darf, sieht die unverschlüsselte Protokolldatei! Und wer hat nicht schon einmal sorglos den Hinweis „Diese Software möchte eine Verbindung zum Internet aufbauen, Nutzerdaten lesen und…“ weggeklickt, weil er das CHatprogramm sonst nicht nutzen kann?!

    Ich bin verwirrt. Was tun?

    Als Android-User kann man sich gehackte Firmware wie das CyanogenMod einspielen, die nicht nur Leistungssteigerungen und Verbesserungen mit sich bringt, sondern auch garantiert frei von Carrier IQ ist. Die Installation ist aber potentiell gefährlich, wenngleich minimal.
    Unter Blackberry ist es mit einem Firmware Flasher ebenfalls möglich eine neue Firmware aufzuspielen, auch Nokia Symbian Geräte sind dazu befähigt. Unter Apples iOS sollen die Updates das Problem demnächst aus der Welt schaffen. Wahrscheinlich wird das dann wieder großartig gefeiert, wie das vergessene Copy&Paste, Antennagate mit gratis Plastikumhüllung und sonstigen.

    Wenn man sich etwas besser mit der Materie auskennt, sollte man den Datenverkehr über WLAN umleiten und nach Datenpaketen an unbekannte Server durchforsten.

    Insgesamt sollten wir abwarten. Falls Daten verschickt wurden, ist es jetzt zu spät dafür, um in Panik auszubrechen. Wenn sich Neuigkeiten und Fakten ergeben, werde ich in einem neuen Artikel darüber berichten.