作者:KervinAlintanahin,趋势科技威胁分析师
最近网络上一直在讨论Carrier IQ(这是一个被预装在手机里,用于监控手机网络和手机性能的应用程序),以及与这个程序有关的个人隐私问题。
在关于Carrier IQ的报导里提出了很多问题,例如该程序所收集的信息,未经用户批准就在手机中预装,以及用户如何处理该程序等。
根据这些报告的介绍,Carrier IQ会记录收发的短信、进行的网络搜索,以及输入的电话号码等此类信息。这些细节都在Trevor Eckhart所发布的视频中得到了证实,而他也是最先对Carrier IQ提出质疑的研究人员。
全都是服务的一部分
让我们先想一想Carrier IQ的目的。这是设计用于监控网络和手机性能的程序。电信运营商们可以借此了解是否为用户正常提供了服务,例如短信、电话、上网等服务,并以此评估自己的表现。
以此为前提,我们可以说收集与手机的上述功能有关的数据还是情有可原的,甚至对电信运营商来说是必要的,这样才能有效监控他们所提供的服务,并节约遇到的何问题。
我们针对这个问题曾经与趋势科技的研究人员Rik Ferguson讨论过,他指出Eckhart的视频是在调试模式下录制的,并不能代表Carrier IQ真正被安装在手机上的行为。根据开发商的说法,Carrier IQ的确会记录发短信时按下的按键,但是Carrier IQ只是辨认按键顺序以用来执行本地端命令。例如当你打电话给技术支持部门时,输入“现在上传诊断结果”这样的命令。此外该程序还可以监控收到的短信,不过这主要是针对电信运营商发送过来的短信,Carrier IQ在检测到这样的短信后可以自动执行运营商的指令。
该程序的开发商声明:“这个应用程序被设计为会舍弃所有无关信息,甚至是在本地端应用程序处理之前就会舍弃,更不会上传给电信运营商,所以这不算是一个多大的个人隐私风险。”
对于这次问题的反应,显示了人们并不知道他们的手机功能有多依赖电信运营商。人们似乎忘记了,每一次收发短信,每一次接打电话,以及每一次网络搜索,都会将他们的信息从手机上发送出去,这是伴随这些动作所必然发生的结果。
经过用户的批准是必要的
我们认为Carrier IQ真正的问题是要告知用户。使用他们服务的电信运营商将Carrier IQ预装在手机上,并且自动运行,让用户难以察觉。人们都希望可以自己管理自己的隐私,所以这一事件已经曝光就引起轩然大波也是很理所当然的。
对于用户来说,他们不知道有这样的服务存在,也没有选项能选择是否要发送这些信息,那么不管这服务是不是合法,肯定会引起关注。
趋势科技相信Carrier IQ不是恶意程序,它的行为也是必须的,但我们也认为应该让用户同意安装程序,以及允许该程序的各项行为,这一点也是至关重要的。
如果需要发送个人数据,那就应该要提前告知用户,并告诉用户这些信息会发送给谁。用户当然也要有能力可以管理数据的分享方式,更重要的是“默认关闭,选择开启”,而不是“默认开启,选择关闭”。
潜在的问题
Rik同时也提到,像CarrierIQ这样的应用程序最危险的潜在风险之一,是它为犯罪分子所呈现的单一化的生态系统。
如果Carrier IQ被爆出可利用的漏洞,那它所内建的功能与庞大的安装数量对犯罪分子来说就成为非常诱人的钱景。这也是最大的争议之一,它让多个电信运营商都部署了相同的程序,而没有给用户任何机会去决定是否接受这个程序。再加上电信运营商发布系统更新程序的时间总是拖拖拉拉,让这个问题又变得更加严重。
@原文出处:The RealIssues About Carrier IQ
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享
官方微博—拿礼品/分享最新IT资讯
趋势科技CEO:陈怡桦EvaChen的微博
1146
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
