jmslluch
Madmaxista
- Desde
- 22 May 2008
- Mensajes
- 5.013
- Reputación
- 12.748
¿Te están espiando algunos fabricantes de Android y operadoras? Todo sobre Carrier IQ
Turbio, muy turbio es todo el asunto que se está destapando en torno a Carrier IQ, y cuanta más información sale a la luz, más sospechosa parece la actividad de esta compañía. Pero comencemos por el principio.
Carrier IQ es una empresa tecnológica, con sede en Mountain View, California que se dedica, según palabras propias, a ‘ofrecer soluciones de inteligencia móvil para la industria’. En otro punto asegura ser: ‘La única compañía de análisis embebidos que soporta millones de teléfonos. Ofrecemos a operadoras y fabricantes de teléfonos una imagen sin precedentes sobre la experiencia móvil de sus clientes’.
Estas palabras, tan bonitas, ambiguas y ‘marketinianas’ podrían esconder una verdad mucho más siniestra. Hace dos semanas, un especialista en seguridad y programador con renombre en la escena Android llamado Trevor Eckhart comenzó a asegurar que lo que Carrier IQ llama ‘soluciones de inteligencia móvil’ no es otra cosa que un rootkit que espía de manera agresiva y constante todas tus comunicaciones.
Según este programador, Carrier IQ Recoge datos del GPS, de nuestra navegación web y hasta registra todos y cada uno de los caracteres que escribimos. Según Eckhart, esté spyware (porque no es otra cosa) no se puede eliminar a menos que se efectúe un rootkit sobre el teléfono y se reinstale todo el sistema operativo desde cero. La aplicación incluso registra estos datos fuera de 3G, sobre redes WiFi.
Cronología del escándalo
Apenas unos días después de que destapara los primeros datos de Carrier IQ, la compañía envió a este programador de XDA Developers una carta de ‘Cease & Desist’. Para los que nunca han recibido esto, un ‘Cease & Desist’ es la última manera que una empresa tiene de intentar cerrar la boca a alguien bajo amenaza de acciones legales agresivas. Traducido al castellano es ‘Cesa y desiste’ pero también podría traducirse como ‘O te callas o te demandamos hasta la médula’.
Generalmente, los ‘Cease & Desist’ se envían cuando hay infracciones al copyright de por medio, pero Eckhart se informó y descubrió que los materiales que estaba publicando para probar sus alegaciones no vulneraban ningún copyright y se mantuvo firme. Días después, la compañía retiro la amenaza de demanda y se disculpó publicamente.
Hasta la fecha, la única explicación que Carrier IQ ha dado es una corta nota de prensa en la que confirma que su software es embebido en los terminales antes de su salida al mercado. También asegura que sus herramientas están sujetas a las leyes locales de protección de datos y que esa información queda en manos de sus clientes (fabricantes y operadoras) y no de terceras compañías.
En su comunicado, Carrier IQ niega tajantemente que su software recoja información como lo que tecleamos en el móvil o el rastreo del GPS. La empresa también afirma que todas las comunicaciones del software están encriptadas y son seguras.
El vídeo de Eckhart
Por un lado tenemos las declaraciones de los representantes de marketing de la compañía, que son tan fiables (o no) como las del propio Eckhart. Para probar sus afirmaciones, el experto en seguridad ha publicado un vídeo bastante largo (sobre un terminal HTC) en Youtube que os ofrecemos a continuación.
[YOUTUBE]T17XQI_AYNo[/YOUTUBE]
Para los que no tengais la paciencia de verlo, el vídeo muestra como el software de Carrier IQ registra las pulsaciones del usuario, lee los SMS antes incluso de que se muestren en pantalla, rastrea la señal del GPS y, lo que es más grave, registra todo incluso en sesiones aparentemente seguras bajo HTTPS. Por supuesto, el vídeo también podría ser un montaje. Nada estará probado hasta que no se profundice en el caso.
Reacciones del sector
Al principio de este post comentábamos que, según los medios estadounidenses, el escándalo Carrier IQ salpica a prácticamente todos los operadores estadounidenses y los fabricantes mundiales de teléfonos, pero todo parece indicar que la cosa podría estar limitada a algunos fabricantes, todos ellos de terminales bajo sistema operativo Android y, sobre todo, a operadoras de telefonía.
Para empezar, si acudimos a la web de Carrier IQ vemos que en sus notas de prensa sólo se hacen referencias a acuerdos con Huawei, Nec y, en operadores, con Vodafone Portugal. Las acusaciones contra fabricantes de amplio calado como Nokia, Samsung o HTC sólo se fundan, de momento, en las investigaciones de Eckhart.
En el otro lado, los fabricantes están apresurándose a lanzar comunicados al respecto. En Xataka hemos contactado con representantes de las principales marcas para recabar más datos y esto es lo que nos han contado:
Google: En Mountain View se desmarcan los primeros de la polémica ya que, según han podido comprobar en XDA, parece que los terminales Nexus y la Xoom original están limpios del software de Carrier IQ.
Apple: En el caso de Apple, el software de Carrier IQ parece estar activo en el iPhone sólo cuando el terminal entra en modo diagnóstico, un modo que está desactivado por defecto, y sólo registra llamadas y posicionamiento GPS. De hecho, este registro parece ser el que destapó la polémica hace meses, cuando Steve Jobs ya comentó que Android registraba muchos más datos.
Nokia: Desde Finlandia se ha realizado ayer un comunicado internacional en el que explican que los informes que aseguran que Carrier IQ está presente en terminales de la compañía son falsos y que ningún terminal Nokia sale de la compañía portando software de Carrier IQ.
Blackberry: “RIM está al corriente de los recientes informes de un investigador en seguridad sobre que la aplicación ‘Carrier IQ está instalada en móviles de diversas compañías y recoge información sin su consentimiento. RIM no instala la aplicación de Carrier IQ ni autoriza a sus socios a que la instalen antes de distribuir o vender los terminales. RIM no ha desarrollado ni participado en el desarrollo de la aplicación Carrier IQ y no está relacionado en forma alguna con sus pruebas, promoción o distribución. La compañía investigará los informes y especulación relacionados con Carrier IQ”
HTC: “Carrier IQ es un software requerido por un cierto número de operadoras en Estados Unidos. Si clientes o medios de comunicación tienen alguna consulta sobre su funcionamiento o sobre como recopila datos deberían remitirla a su operador. HTC no es cliente ni socio de Carrier IQ y no recibe dato alguno de sus aplicaciones, de la compañía o de alguno de sus socios. HTC está investigando la opción de permitir a sus clientes darse de baja de la recolección de datos que realiza la aplicación de Carrier IQ.”
Al cierre de este post, no hemos tenido todavía reacciones de otros fabricantes presuntamente envueltos en este ‘AndroidGate’ ni de operadoras españolas. Iremos actualizando esta información a medida que la recibamos.
Actualizaciones
I. 01-12-2011. 17:43
Desde HTC nos comentan que Carrier IQ no se integra en ningún teléfono de los que se comercializa en la zona EMEA (Europa, Oriente Medio y Africa).
Turbio, muy turbio es todo el asunto que se está destapando en torno a Carrier IQ, y cuanta más información sale a la luz, más sospechosa parece la actividad de esta compañía. Pero comencemos por el principio.
Carrier IQ es una empresa tecnológica, con sede en Mountain View, California que se dedica, según palabras propias, a ‘ofrecer soluciones de inteligencia móvil para la industria’. En otro punto asegura ser: ‘La única compañía de análisis embebidos que soporta millones de teléfonos. Ofrecemos a operadoras y fabricantes de teléfonos una imagen sin precedentes sobre la experiencia móvil de sus clientes’.
Estas palabras, tan bonitas, ambiguas y ‘marketinianas’ podrían esconder una verdad mucho más siniestra. Hace dos semanas, un especialista en seguridad y programador con renombre en la escena Android llamado Trevor Eckhart comenzó a asegurar que lo que Carrier IQ llama ‘soluciones de inteligencia móvil’ no es otra cosa que un rootkit que espía de manera agresiva y constante todas tus comunicaciones.
Según este programador, Carrier IQ Recoge datos del GPS, de nuestra navegación web y hasta registra todos y cada uno de los caracteres que escribimos. Según Eckhart, esté spyware (porque no es otra cosa) no se puede eliminar a menos que se efectúe un rootkit sobre el teléfono y se reinstale todo el sistema operativo desde cero. La aplicación incluso registra estos datos fuera de 3G, sobre redes WiFi.
Cronología del escándalo
Apenas unos días después de que destapara los primeros datos de Carrier IQ, la compañía envió a este programador de XDA Developers una carta de ‘Cease & Desist’. Para los que nunca han recibido esto, un ‘Cease & Desist’ es la última manera que una empresa tiene de intentar cerrar la boca a alguien bajo amenaza de acciones legales agresivas. Traducido al castellano es ‘Cesa y desiste’ pero también podría traducirse como ‘O te callas o te demandamos hasta la médula’.
Generalmente, los ‘Cease & Desist’ se envían cuando hay infracciones al copyright de por medio, pero Eckhart se informó y descubrió que los materiales que estaba publicando para probar sus alegaciones no vulneraban ningún copyright y se mantuvo firme. Días después, la compañía retiro la amenaza de demanda y se disculpó publicamente.
Hasta la fecha, la única explicación que Carrier IQ ha dado es una corta nota de prensa en la que confirma que su software es embebido en los terminales antes de su salida al mercado. También asegura que sus herramientas están sujetas a las leyes locales de protección de datos y que esa información queda en manos de sus clientes (fabricantes y operadoras) y no de terceras compañías.
En su comunicado, Carrier IQ niega tajantemente que su software recoja información como lo que tecleamos en el móvil o el rastreo del GPS. La empresa también afirma que todas las comunicaciones del software están encriptadas y son seguras.
El vídeo de Eckhart
Por un lado tenemos las declaraciones de los representantes de marketing de la compañía, que son tan fiables (o no) como las del propio Eckhart. Para probar sus afirmaciones, el experto en seguridad ha publicado un vídeo bastante largo (sobre un terminal HTC) en Youtube que os ofrecemos a continuación.
[YOUTUBE]T17XQI_AYNo[/YOUTUBE]
Para los que no tengais la paciencia de verlo, el vídeo muestra como el software de Carrier IQ registra las pulsaciones del usuario, lee los SMS antes incluso de que se muestren en pantalla, rastrea la señal del GPS y, lo que es más grave, registra todo incluso en sesiones aparentemente seguras bajo HTTPS. Por supuesto, el vídeo también podría ser un montaje. Nada estará probado hasta que no se profundice en el caso.
Reacciones del sector
Al principio de este post comentábamos que, según los medios estadounidenses, el escándalo Carrier IQ salpica a prácticamente todos los operadores estadounidenses y los fabricantes mundiales de teléfonos, pero todo parece indicar que la cosa podría estar limitada a algunos fabricantes, todos ellos de terminales bajo sistema operativo Android y, sobre todo, a operadoras de telefonía.
Para empezar, si acudimos a la web de Carrier IQ vemos que en sus notas de prensa sólo se hacen referencias a acuerdos con Huawei, Nec y, en operadores, con Vodafone Portugal. Las acusaciones contra fabricantes de amplio calado como Nokia, Samsung o HTC sólo se fundan, de momento, en las investigaciones de Eckhart.
En el otro lado, los fabricantes están apresurándose a lanzar comunicados al respecto. En Xataka hemos contactado con representantes de las principales marcas para recabar más datos y esto es lo que nos han contado:
Google: En Mountain View se desmarcan los primeros de la polémica ya que, según han podido comprobar en XDA, parece que los terminales Nexus y la Xoom original están limpios del software de Carrier IQ.
Apple: En el caso de Apple, el software de Carrier IQ parece estar activo en el iPhone sólo cuando el terminal entra en modo diagnóstico, un modo que está desactivado por defecto, y sólo registra llamadas y posicionamiento GPS. De hecho, este registro parece ser el que destapó la polémica hace meses, cuando Steve Jobs ya comentó que Android registraba muchos más datos.
Nokia: Desde Finlandia se ha realizado ayer un comunicado internacional en el que explican que los informes que aseguran que Carrier IQ está presente en terminales de la compañía son falsos y que ningún terminal Nokia sale de la compañía portando software de Carrier IQ.
Blackberry: “RIM está al corriente de los recientes informes de un investigador en seguridad sobre que la aplicación ‘Carrier IQ está instalada en móviles de diversas compañías y recoge información sin su consentimiento. RIM no instala la aplicación de Carrier IQ ni autoriza a sus socios a que la instalen antes de distribuir o vender los terminales. RIM no ha desarrollado ni participado en el desarrollo de la aplicación Carrier IQ y no está relacionado en forma alguna con sus pruebas, promoción o distribución. La compañía investigará los informes y especulación relacionados con Carrier IQ”
HTC: “Carrier IQ es un software requerido por un cierto número de operadoras en Estados Unidos. Si clientes o medios de comunicación tienen alguna consulta sobre su funcionamiento o sobre como recopila datos deberían remitirla a su operador. HTC no es cliente ni socio de Carrier IQ y no recibe dato alguno de sus aplicaciones, de la compañía o de alguno de sus socios. HTC está investigando la opción de permitir a sus clientes darse de baja de la recolección de datos que realiza la aplicación de Carrier IQ.”
Al cierre de este post, no hemos tenido todavía reacciones de otros fabricantes presuntamente envueltos en este ‘AndroidGate’ ni de operadoras españolas. Iremos actualizando esta información a medida que la recibamos.
Actualizaciones
I. 01-12-2011. 17:43
Desde HTC nos comentan que Carrier IQ no se integra en ningún teléfono de los que se comercializa en la zona EMEA (Europa, Oriente Medio y Africa).
