Die Schottenland-Community

[Redaktion]

Der Albtraum vieler Open-Source-Liebhaber ist eingetreten: auf Mobiltelefonen mit Googles Open-Source-Betriebssystem Android wurde eine angebliche Spyware-Applikation entdeckt, die sich auf den allermeisten Android-Smartphones befindet und nicht ohne weiteres entfernt werden kann. Die Nachricht ging bereits über zahlreiche Nachrichtenportale und hat auch auf Youtube Aufsehen erregt.

---------------------------------------------------	---------------------------------------------------	---------------------------------------------------
SAMSUNG Galaxy Ace S5830	SAMSUNG Nexus S i9023	SAMSUNG Galaxy S Plus I9001
SAMSUNG Galaxy S II i9100	SAMSUNG Galaxy Note	SAMSUNG i9250 Galaxy Nexus

Offizielle Stellungnahme

In der offiziellen Stellungnahme der Herstellerfirma von CarrierIQ heißt es, dass die Anwendung nur zur Verbesserung des Netzwerkdienstes existiere und dass die Software keine sensiblen Daten speichern oder gar weitersenden würde. Stattdessen werde zum Beispiel aufgezeichnet, ob eine SMS erfolgreich versandt wurde oder nicht. Der Inhalt der SMS bleibe jedoch ungespeichert. Die Firma erhielt außerdem Schützenhilfe von verschiedenen Experten aus dem Sicherheitsbereich, weswegen zumindest in Hinsicht auf die aktuelle Situation Entwarnung gegeben werden kann.

Die Angst vor Ãœberwachung

Auch wenn Carrier IQ die Daten nicht wie ursprünglich vermutet speichert, ist der Vorfall dennoch besorgniserregend. Wie das eingangs verlinkte Youtube-Video zeigte, stehen der Software Tür und Tor zu allen sensiblen Daten auf dem betreffenden Gerät offen und nur weil diese im Moment nicht gespeichert werden heißt das natürlich nicht, dass die Situation in Zukunft unverändert bleibt.

Nachdem das Programm nun gegenüber der weiten Öffentlichkeit bekannt wurde, muss man sich als Endnutzer allerdings nicht nur vor Zugriffen von Seiten der Netzbetreiber oder Smartphone-Hersteller Gedanken machen, auch Hacker haben mit dem Programm Carrier IQ ein neues Ziel gefunden.

Fazit

Mit Carrier IQ wurde auf Android-Smartphones eine vorinstallierte Sollbruchstelle der Privatsphäre entdeckt, die sich nicht ohne weiteres ausbessern lässt. Wie sich die Situation in den kommenden Monaten weiterentwickelt ist im Moment nicht abzusehen, doch Fakt ist, dass persönliche Daten auf einem elektronischen Gerät nur sicher sind, wenn keine Vernetzung vorliegt. Von diesem Zustand ist unsere hochvernetzte digitale Welt jedoch sehr weit entfernt und daher obliegt jedem von euch die Pflicht, selbst darüber zu entscheiden, welche Daten ihr preisgebt und welche nicht.

[mk]

[mf-concepts]

Dafür gibt es einen einfachen Merksatz:

Glaube keiner Statistik, die Du nicht selbst manipuliert hast
und traue keinem Gerät, das Du nicht selbst programmiert hast.

So lange es Menschen gibt, die aus den sinnfreiesten Gründen irgendwelche Seiten im Netz besuchen, seltsame eMails öffnen, jedem Gratislink folgen und denken, sie wären out, sobald sie einmal Nein! zu einer App sagen, ... so lange ist niemand auf das Cracken/Hacken von Carrier IQ angewiesen.
Da ist es doch gleich viel einfacher, die Schwachstelle Mensch anzugreifen, denn die funktioniert ungeachtet aller technischen Fortschritte nach wie vor bestens.
Der Mensch wird nicht in dem Maß geupdatet oder gebugfixed, wie unsere heutigen Geräte. Er ist - im Durchschnitt betrachtet - nach wie vor die löchrigste aller Firewalls, die schwächste aller Verschlüsselungen und der geschwätzigste aller Geheimnisträger. Und der Mensch ist sehr viel einfacher zu manipulieren als irgendwelcher Programmcode.

Wenn diese App nicht ohne weiteres zu entfernen ist, dann ist sie auch nicht ohne weiteres gegen eine manipulierte austauschbar. Was sich auf den ersten Blick so negativ liest, kann auch eine wichtige Schutzfunktion darstellen. Wenn der Endnutzer an etwas nicht herankommt, kann das durchaus auch sein Gutes haben...

[...] und daher obliegt jedem von euch die Pflicht, selbst darüber zu entscheiden, welche Daten ihr preisgebt und welche nicht.

Diese Pflicht würde ich ja gerne wahrnehmen - schließlich gehöre ich noch zu der Generation,
- die gelernt hat, dass jeder für seine Sicherheit selbst verantwortlich ist,
- die sich der Tragweite veröffentlichter persönlicher Informationen bewusst ist,
- die sich auch die dafür notwendige Mühe macht, konfiguriert, editiert, etc.,...
- und die sich nicht in Vollkasko-Mentalität auf den Anstand diverser Hersteller, Provider, etc., ... verlassen will.
...
Aber müssten wir dann nicht überhaupt erst einmal in die Lage versetzt werden, das unseren Geräten schonend beizubringen?
Ich meine ja nur...
Zu entscheiden, was man will und was nicht, das ist das eine.
Dem dann aber auch Geltung zu verschaffen, ist das andere.
Letzteres ist derzeit ja wohl nicht wirklich drin, oder?!

Eine Stellungnahme von CIQ interessiert mich in dem Fall recht begrenzt, denn die haben das Gerät ja nicht in Verkehr gebracht. Diese Verantwortung trifft die Gerätehersteller und genau von denen möchte ich in solchen Fällen hören/lesen/erfahren, wie sie mir die Selbstbestimmung über meine Daten in Zukunft gewährleisten wollen.

[-hjo-]

Ich halte es für wichtig zu erwähnen, dass Carrier IQ nicht in Deutschland eingesetzt wird. Ich habe das sofort auf dem mir zur Verfügung stehenden HTC Desire Z (Android 2.2, Original HTC Firmware) überprüft. Die im Video gezeigten Dienste existieren bei mir nicht. Laut HTC wird die Software von einigen Netzbetreibern in den USA verlangt - die Hersteller sind also nicht die Bösen. Vielleicht ist das ja das amerikanisch Mobilpendant zu unserem Staatstrojaner? Der wurde ja auch outgesourced

In dem Video wird übrigens demonstriert, wie die Tasteneingaben im Dialer (Telefonanwendung), die https(!)-Urls einer google-Suche im Klartext und eingehende SMS an die Software durchgereicht werden. Diese Software ist eine Wanze - eindeutig.

Zur Info, die Dienste der Software nennen sich HTC IQAgent und IQRD und lassen sich nicht beenden.

Meine Empfehlungen für Android Smartphones sind übrigens Motorola Defy+ und -natürlich- das HTC Desire Z, für Leute, die viel mit dem Telefon tippen wollen. Dabei ist zu erwähnen, dass beide Telefone mit Android 2.3 laufen und vermutlich kein Update auf 4.0 erfahren werden.

---------------------------------------------------	---------------------------------------------------	---------------------------------------------------
HTC Desire Z Anthrazit/Schwarz	MOTOROLA Defy+ Schwarz/Grau

Gruß
-hjo-