研究人員指控,許多智慧型手機裝置製造商與電信業者於手機內預載的Carrier IQ軟體屬於Rootkit程式。全球已有超過1.4億的行動裝置安裝了該公司的分析軟體,涵蓋了Android手機、黑莓機、Nokia手機及平板電腦等。
安全研究人員Trevor Eckhart今年11月指出,許多智慧型手機裝置製造商與電信業者於手機內預載的Carrier IQ軟體屬於Rootkit程式,而且會暗中蒐集使用者的手機資訊、使用與服務狀態。
Carrier IQ為行動服務智慧型解決方案的供應商,透過嵌入式的分析機制以檢視使用者的網路或服務狀態且回傳至業者端以進行改善,根據該站的數據,全球已有超過1.4億的行動裝置安裝了該公司的分析軟體,涵蓋了Android手機、黑莓機、Nokia手機及平板電腦等。
Eckhart指出,行動電話製造商或電信營運商可利用Carrier IQ所蒐集與分析的使用者資訊來改善通話或網路品質,不過,它可蒐集的裝置資訊範圍非常廣泛,涵蓋手機型號、製造商、記憶體與電池狀態、所安裝的應用程式、裝置的所在位置、曾使用的按鍵、使用歷史紀錄,甚至是使用者與裝置的互動情況等。
此外,Eckhart還發現,Carrier IQ具有系統最高權限,可與遠端伺服器連結,而且它在系統中是隱藏的,使用者無法辨識它的執行,在多數的裝置上缺乏關閉功能。Eckhart因而把Carrier IQ與駭客經常用來藏匿惡意軟體的Rootkit程式相提並論。
Eckhart原本將他的研究與結論張貼在Carrier IQ的論壇上,但旋即被Carrier IQ移除,Carrier IQ不但否認此事,還發出禁止信函(cease-and-desist letter),警告Eckhart侵犯該公司的著作權且發表不實的言論,還要求Eckhart交出所有曾取得他研究報告的名單;Eckhart隨後請求電子前線基金會(EFF)的協助,證實他的研究受到合理使用條款與言論自由的保護。
在EFF出面後,Carrier IQ繼之宣布放棄對Eckhart所提出的侵權威脅,並向Eckhart致歉,同時澄清該公司軟體並未側錄使用者鍵盤、未包含追蹤工具、也沒有偵測使用者的通訊紀錄、沒有提供即時數據報告予客戶,也未將軟體所蒐集的資訊販售給第三方,強調該軟體主要的用途在於解決通話中斷與電池損耗的問題。
(編譯/陳曉莉)本文引用於此
沒有留言:
張貼留言
希望各位在留言時可以選擇身分
Yahoo帳號請選OpenID
網址打yahoo.com
以便回覆時較好辨認及交流
謝謝合作