本文发表于《大众科学》的前博客网络,仅反映作者的观点,不一定反映《大众科学》的观点
美国手机用户不喜欢在无线设备上花费大量资金。因此,许多人同意与 AT&T、Sprint、Verizon 和其他无线运营商签订限制性合同,以便获得优惠的价格。然而,直到最近发现 Carrier IQ 的分析软件运行在各种移动设备上(包括 Apple iPhones 和 Google Android 手机)的轩然大波之前,大多数消费者都没有意识到他们也对安装在他们购买的高额补贴手机上的软件几乎没有控制权。同样不清楚的是,Carrier IQ 的软件通过收集和存储有关个人手机使用方式和地点的数据,会造成多大的安全和隐私风险。
Carrier IQ 将其软件(在全球超过 1.41 亿部手机上安装)定位为移动代理,通过提供有关客户使用模式的数据,帮助运营商改善无线客户的服务。Carrier IQ 首席执行官拉里·伦哈特在最近发布到 YouTube 的视频中表示,这些改进包括减少掉话和延长设备电池寿命。
几周前,当 软件开发人员特雷弗·埃克哈特在他的 Android 安全博客上指出 Carrier IQ 可以访问存储在手机上的各种信息时,关于该公司还可以利用其收集的信息做什么的争议出现了,这些信息包括“制造商和型号、可用内存和电池寿命、设备上常驻的应用程序类型、设备的地理位置、最终用户在设备上按下的按键、设备的使用历史,包括那些表征用户与设备交互的信息”。埃克哈特声称从一份 Carrier IQ 专利申请中获得了这些信息,然后自己测试了该软件。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将有助于确保关于塑造我们当今世界的发现和想法的具有影响力的故事的未来。
埃克哈特随后声称 Carrier IQ 是一个“rootkit(rootkit)”,它记录移动电话用户活动和位置,这促使该公司获得了一份停止令,但当埃克哈特聘请了 电子前沿基金会后,该停止令被撤销。Rootkit 是一个加载了网络安全术语的词,指的是在未经用户同意或知情的情况下安装的用于跟踪设备活动的键盘记录、特洛伊木马或其他软件。最近,软件开发人员格兰特·保罗(又名 chpwn)声称 Carrier IQ 也安装在 iPhone 以及最初由埃克哈特确定的 Android、黑莓和诺基亚手机上。正如 Macworld.com 周四指出的那样,苹果公司此后与 Carrier IQ 拉开了距离。
印第安纳大学伯明顿分校信息学与计算学院的隐私和安全研究员 克里斯·索霍吉安 说,比 Carrier IQ 正在收集敏感数据的证据更令人不安的是,缺乏证据表明该公司知道如何保护这些数据。“你的手机上运行着这个应用程序,它基本上拥有完全的权限——能够访问用户的电子邮件、电话、位置信息、短信和照片——它就只是在那里,”他补充道。“即使你相信 Carrier IQ 是善意的,或者相信运营商没有收到这些信息,但当黑客想出如何利用这些信息时,你仍然会面临一场迫在眉睫的安全危机。这对黑客、情报机构或执法部门来说绝对是一座金矿。”
考虑到今年早些时候加利福尼亚州最高法院的案件授予警方在没有搜查令的情况下搜查手机的权力,间谍机构或执法部门可能利用 Carrier IQ 访问私人信息的想法尤其具有现实意义。
索霍吉安说,Carrier IQ 的软件就像“住在你手机里的一个小精灵,如果被要求这样做,它有能力向其他人汇报”,索霍吉安也是印第安纳大学应用网络安全研究中心的研究员。尽管 Carrier IQ 声称它正在努力提高呼叫者的网络性能,但索霍吉安补充说,该公司是由运营商雇佣的,性能改进只是收集到的用户数据可能被用来做的用途的一个次要方面。
对 Carrier IQ 以及允许安装该软件的手机制造商和运营商的强烈反对已经蔓延开来。美国参议员阿尔·弗兰肯(明尼苏达州民主党)(pdf)和众议员埃德·马基(马萨诸塞州民主党)已经呼吁对 Carrier IQ 在手机上的存在进行调查。德国巴伐利亚州数据保护局已联系苹果公司,以了解更多关于其在 Carrier IQ 使用中的作用。据 彭博社报道,英国、法国、爱尔兰和意大利的监管机构也正在审查 Carrier IQ 是否在其管辖范围内使用。
当政策制定者质疑该公司的意图时,索霍吉安对预谋的想法嗤之以鼻。“与其假设该公司是不怀好意的,不如假设他们是无能的要好得多,”索霍吉安说。“假设他们无能和不称职总是更安全的,而且在这种情况下,似乎有大量的证据表明两者都存在。”
图片由 Martin McCarthy 提供,通过 iStockphoto.com