Carrier IQ : un mouchard impossible à déloger sur Android

Nicolas Furno |

L'affaire Consolidated.db avait fait grand bruit au printemps dernier (lire : Consolidated.db : la polémique et les faits et toute l'actualité de Consolidated.db sur iGeneration), mais Carrier IQ devrait en faire encore plus. Cette entreprise propose aux constructeurs de smartphones sous Android un kit clé en main qui leur permet de suivre tous les faits et gestes des utilisateurs de leurs terminaux.

On sait que Samsung et HTC l'utilisent à travers leurs interfaces personnalisées TouchWizz et Sense respectivement, mais ce mécanisme ne serait pas limité à Android et Nokia ainsi que RIM sont aussi suspectés d'exploiter Carrier IQ. L'outil est quasiment impossible à détecter et encore moins à supprimer : les interfaces modifiées des constructeurs reposent sur lui et sa suppression bloque le bon fonctionnement du smartphone.

Pour les constructeurs, cet outil remonte énormément d'informations capitales. Avec Carrier IQ, tout ce que le smartphone effectue est enregistré : sa position, les appels reçus, ceux qui ont été ratés, les messages envoyés ou même les données reçues ou envoyées par Internet. Le clavier peut même être enregistré à distance, de quoi savoir précisément tout ce que vous écrivez avec le téléphone.

Carrier IQ

L'utilisateur ignore tout de cet outil de suivi et n'a aucun moyen de le supprimer. Voilà qui n'aide pas à instaurer un climat de confiance envers les constructeurs qui l'utilisent. Carrier IQ a même réagi avec une vivacité qui la rend assez coupable en demandant à l'auteur des découvertes de supprimer les informations sur son site et de faire des excuses publiques, sous peine de l'ouverture de poursuites judiciaires.

Depuis la publication de ces informations, Carrier IQ a répondu par un communiqué dans lequel l'entreprise explique que la collecte des données est totalement anonyme et chiffrée et que les données ne sont pas revendues à des tiers. Reste que les utilisateurs n'en sont pas informés et qu'ils n'ont pas leur mot à dire…

[Via : FrAndroid]

Tags
#android #Carrier IQ
avatar davmacgeneration | 
@Paddy92 Hors sujet.
avatar juju_nantes | 
Puisque ce n'est pas iPhone qui est concerné, je gage que cette fois, personne ne va en parler.
avatar hozuki | 
Tout le monde s'en fout car ce n'est pas Apple... Un article sur Android c'est pas vendeur voyons...
avatar an3k | 
Ce machin tourne aussi sur les Nokia, les BB etc... et sur le coup, l'ouverture d'Android a facilité la découverte de cette merde car les développeurs de xda ont pu le voir dans les sources. Sous d'autres OS, c'est plus complexe à débusquer.
avatar an3k | 
N'importe quoi mon pauvre ami. Tu sais lire ? Ce machin est une merde qui ne devrait pas exister (et j'espère que les sociétés responsables seront punies) mais cela ne m'empêchera pas de dire qu'il est plus facile de débusquer ce genre de saloperie si le code est disponible.
avatar PtitRital67 | 
@Ast2001 : et bien tu dis de grosses conneries, libre ou pas il "suffit" que des gens cherchent pour trouver. D'ailleurs c'est tellement efficace de tout avoir "libre" que ici les gens ils ont mis des mois avant de trouver...
avatar tigre2010 | 
@jodido : On trouve quand on sait quoi et ou chercher et encore faut avoir l'idée.
avatar an3k | 
Il y a une très bonne analyse de cette merde sur le site Korben. Ce machin est imposé par les opérateurs US pour des raisons de 'qualité' du réseau. A priori, il ne tourne que chez les téléphones de l'opérateur Sprint. Pour savoir s'il tourne sur votre Android, faites Paramètres > Applications > Services en cours d'exécution. Si vous voyez un truc qui s'appelle 'IQ Service', il tourne chez vous. Ce n'est pas le cas sur mon SGI II chez Virgin. En tous cas, j'espère que cette boîte, les opérateurs (Sprint...) et les constructeurs (Samsung...) qui lancent ce service dans le dos de leurs clients vont se faire fortement taper sur les doigts. On ne rigole pas avec ces choses aux US.
avatar napuconcture | 
Je serais curieux de savoir si il n'existe pas le même type de mouchard/backdoor sur les OS américains : MacOS, Windows, Redhat, AIX, HP-UX, Motorola/Android, etc ...
avatar fredroy | 
@Dodi12 : 'S'il est confirmé que rim utilise également ce mouchard, je pense que cela va faire pas mal de bruit entreprise.. ' surtout quand on sait que l'argument principal avancé par les services de sécurité (gouvernements et entreprises) qui refusent l'iPhone et favorisent le BlackBerry est le transfert sécurisé des données.
avatar domshovel | 
@ast2001 C'est pas comme ça que ça marche. Cette merde est totalement invisible.
avatar an3k | 
Ce n'est pas ce qu'ils disent sur XDA http://forum.xda-developers.com/showpost.php?p=11763089
avatar napuconcture | 
Oui je pense que le tube de vaseline sera visiblement à se partager et ça risque de faire très très mal opérateurs, constructeurs, et l'instigateur du mal. Nul doute que ça sera repris dans les médias US et que cela fera écho et qu'une bonne petite classe action va se monter.
avatar domshovel | 
@Ast2001 En effet, il faudra avoir plusieurs sons de cloches.
avatar an3k | 
Sous Android, il n'est pas facile de cacher un process qui tourner en mémoire :-) Android fournissant en standard un task manager listant tous les process. Et c'est sans compter sur tous les task managers alternatifs du market encore plus pointus.
avatar -oldmac- | 
@Ast2001 : Alors pourquoi on en parle que maintenant ?
avatar an3k | 
Parce qu'il a fallut que quelqu'un tombe dessus par hasard. C'est quelqu'un de la communauté xda qui travaille à réaliser des ROMs alternatives pour android. C'est le côté ouvert et la mise à disposition des sources de l'OS qui lui ont permis de tomber sur cette merde. Tu penses que beaucoup de personnes se posent des questions sur l'origine des process qui tournent sur leus OS ? (mobile ou desktop) Maintenant, je pense qu'il faut finement regarder tous les autres OS mobiles. Comme ils sont moins accessibles aux bidouilleurs qu'Android, cela sera moins simple mais je pense que c'est réalisable. Attendons nous à de mauvaises surprises, je le crains. D'après le site Korben, ce sont les opérateurs (US) qui imposent aux constructeurs d'installer ce machin.
avatar Lou117 | 
Accessoirement la communauté Android est TRES critique vis à vis de ce problème.
avatar gilzecat | 
Aillant un HTC ça fait un moment que je me dis qu'il faudrait que j'installe une ROM un peu plus sympa que celle fournie par orange. Maintenant je suis définitivement convaincu. Rien à faire de la garantie. Je préfère ma vie privée.
avatar drkiriko | 
Génial, jusqu'au jour ou un petit malin saura comment récupérer ces données et les exploiter.
avatar binaud123 | 
iOS ou Android, là n'est pas la question : c'est une atteinte à la vie privée. Si les opérateurs US imposent ce mouchard, qu'en est-il pour les iPhone Verizon alors ? Si Apple a installé ce truc dans iOS, byebye le prochain iPhone en ce qui me concerne ou alors un bon Jailbreak. D'où l'intérêt d'un code libre quand même. En plus, on peut supposer que les gens qui achètent un androphone, comme les possesseurs d'iPhone d'ailleurs, ne sont pas des pros de l'informatique. Ça ressemble beaucoup au mouchard HADOPI, cette merde….
avatar eipem | 
@nykk Les opérateurs ne peuvent pas modifier le code d'iOS, c'est d'ailleurs ce qui les fait hurler depuis le début, pas pouvoir mettre leur surcouche et leurs programmes à la con. Sur Android, le code est libre, donc n'importe qui peut le modifier à sa guise pour y glisser ce genre de code, et même Google n'y peut rien. Après RIM est propriétaire de son code, donc ça me semble sidérant qu'elle laisse faire ça. Les opérateurs téléphoniques sont le Mal. Vivement qu'ils ne soient plus que des fournisseurs de tuyaux.
avatar shinove | 
Ast2001, vous avez des propos contradictoire, vous dites que sous Android on nu peu rien cacher grâce au taskmanager et un peu plus vous dites que c'est l'équipe XAD qui est tomber dessus. Savez vous seulement de quoi vous parlez ?
avatar PtitRital67 | 
@Gaolinn : il ne sait absolument pas de quoi il parle rien que l'argument "c'est ouvert alors on a trouvé" est complètement débile. D'ailleurs ça doit être genre la première phrase de cet article qui montre ce non sens digne des trolleurs de compet'
avatar an3k | 
Et pour quelle raison je ne saurais pas de quoi je parle, vous me connaissez ? :-) Il est évident (et voir de la débilité là dedans montre l'étendue de tes compétences techniques) qu'il est plus difficile de cacher un rootkit dans un OS dont les sources sont fournis que dans un OS pour lequel rien n'est fourni. Et encore une fois, s'il y a quoi que ce soit qui tourne à mon insu sur mon téléphone Android et qui logue mon activité, je trouve cela très grave et j'espère que les sociétés responsables se feront violemment taper sur les doigts. Point barre.
avatar MiB42 | 
C'est cool le libre....
avatar hdub | 
C'est toujours ca qui me fait peur sur un système libre sur un téléphone. Une appli peut récupérer facilement des infos ou pire, envoyer des mails/spam, sms surtaxé,... C'est pour ca que je suis pour le modèle d'Apple. Certe fermé, mais au moins on a moins de chance que des applis parasites puissent se retrouver sur l'appstore. Effectivement, je suis d'accord sur le fait que ca ne fera pas beaucoup de bruit, car pas Apple. Pour le moment, je ne vois rien sur clubic, pcimpact,...
avatar napuconcture | 
Les ROM opérateurs ne sont justement pas libre et c'est bien la le problème. On devrait pouvoir remettre en oeuvre rapidement une ROM libre et saine. Car même si l'opérateur fournissait une ROM libre qu'est ce qui prouve que celle implémenté dans le téléphone est bien libre ? Pour l'iphone c'est pareil, il y a un quelques composants dont Apple ne dispose par forcement des sources.
avatar le_hobbit | 
Apple est très à cheval sur la vie privée de ses clients (ex: l'affaire de partage de données des abonnés de la presse sur l'app store). Je pense qu'il n'y a personne à part Apple qui sait ce qui se passe sur cet iPhone ! Par contre sur android ... :-/
avatar napuconcture | 
J'ai regardé un peu plus en fait cela touche : les smartphones, les tablettes, les cartes à puces intelligentes (RFID), les TV connectés, les boxes, les features phones, les PDA, soit plus de 150 millons d'appareils actuellement (il n'y a pas de détail concernant ces appareils). La solution tourne sur : Android, RTOS, BREW, Windows Mobile, Linux, PalmOS, VxWorks, iOS.
avatar BeePotato | 
t'es vraiment un comique, toi.
avatar napuconcture | 
Bah c'est ce qui est marqué sur leur site ... et sur leurs offres d'emplois.
avatar BeePotato | 
Non, absolument pas. Je sais d'où tu tire ta liste : http://www.google.fr/search?rls=en&q=Android,+RTOS,+BREW,+Windows+Mobile,+Linux,+PalmOS,+VxWorks,+iOS Sauf que tu as juste fait une petite retouche, tu as rajouté iOS qui n'est pas dans la liste. Et que de toute façon il n'est pas dit que ça concerne le produit dont il est question dans cet article. Et au fait, où as-tu vu la mention à iOS sur le site de CarrierIQ ? http://www.google.com/search?q=site:www.carrieriq.com+iOS
avatar napuconcture | 
C'était pas IOS c'était iphone. De ce que j'ai compris une partie de leur solutions peuvent être implémentés dans la partie baseband.
avatar napuconcture | 
Ils font de l'analytics pour l'embarqué, c'est probablement pour mettre dans des apps.
avatar Kevelian | 
iMouillart sur ce coup tu est vraiment ridicule. tu cherche n’importe quoi pour dire c’est grave Apple le fait aussi alors que tu sait pertinemment c’est un énorme mensonge. - - - - - - Pour le tube de vaseline et l’écarteur va falloir en fournir pas mal et prévoir un écarteur grand taille. La Corée du sud avais mis une belle amende a Apple pour le ConsolidatedGate, on va voir celle de Samsung histoire de comparer Carrier iQ y peuvent dire adieu a leur business model aller menacer le mec qui a trouvé le machin, c’est la plus mauvaise chose a faire, leur attaché de presse (si ils en ont un) y va ramer sec maintenant pour sauver les miettes (qui vont rester) . Tout le monde va se décharger sur eux,( opérateurs & marque) , alors qu’ils en aurons tous bien profité pendant un moment de ces précieuses informations au faire le Kindle Fire est dans cette liste ??
avatar napuconcture | 
Y a pas de liste, mais il est plus probable que Amazon tout comme Apple utilisent leurs propres "mouchard". Tous les OS (ubuntu, redhat) la plupart des environnements de développement, firefox, chrome, opera, etc ... le font ça leur permet de savoir ce qui est utilisé quand comment pourquoi où ... Chez certain c'est juste deux trois info, chez d'autres on est averti et on peu le désactiver et chez les derniers tout se passe sous le manteau. C'est pareil pour les stacktraces et rapports de bugs envoyés par les applications qui peuvent contenir des infos perso.
avatar napuconcture | 
Les rapports d'utilisations de morceaux de musiques, combien de fois tu les lis, les rapports d'incidents qui sont collectés et envoyés à Apple, les informations d'utilisation des applications, les données sur la machines. C'est connu. Pour ce qui est des mails, messages, calendrier il n'y a effectivement pas besoin de mouchard puisqu'il y a icloud & siri tu pense sérieusement que les services de la sécurité national US, laissent autant d'informations sans pouvoir les exploités ? Pourquoi crois tu que c'est la NSA qui à développé le plus utilisé des mécanismes de sécurité sous Linux selinux : http://www.nsa.gov/research/selinux/ idem pour les BSD : http://www.trustedbsd.org/ c'est marrant c'est encore la NSA le sponsort du projet Dans IOS (pas celui d'Apple mais celui des routeurs CISCO c'est le cas), sur les systèmes SAP tu as également des backdoor et des outils de traçage et de remonté d'information chez SAP. Quand à Google je ne vois pas ce qu'ils ont à faire dans cette histoire. Il s'agit des constructeurs et opérateurs de réseaux téléphonique Américain. Je pense que tu ne comprends pas très bien et que tu confonds un peu tout sous le coup de l'émotion.
avatar Oh la belle Pomme | 
...
avatar begs | 
Trop mdr ce truc ! Ce qu'a fait Apple il y a peu est de la peccadille par rapport à ça.
avatar napuconcture | 
Tu respire défois ? C'est le méga complot de la presse, de tous les éditeurs et constructeur contre la pauvre Apple ?
avatar le_hobbit | 
Faut se calmer les mec ! (essayez le karaté, ça calme bien ...) 1. Ce n'est pas Google qui est responsable de ce mouchard. Android est libre, c'est a dire que n'importe qui peut l'utiliser, le modifier gratuitement. Ce sont les fabricants de téléphones mobiles qui ont intégrés cette cochonnerie. Il faut arrêter de se taper sur la gueule sans s'être renseigné. 2. Si cette connerie existe, c'est parce que ce sont les opérateurs qui l'ont exigés sous peine de ne pas vendre les smartphones ne l'intégrant pas.. Ca existe surtout aux USA, les opérateurs en France n'ayant pas encore eut l'idée d'exiger l'intégration, nous sommes plutôt épargnés. 3. Ne vous inquiétez pas, Apple doit surement savoir ce qui se trame sur votre iphone. Sauf que ça doit surement être anonyme, et Apple surprotège ses clients. Bref tout ça pour vous dire que : oui c'est très grave (plus grave que les histoires de localisation d'apple), oui on essaye de camoufler ce genre de nouvelles, mais par pitié ne venez pas accuser Google à tord alors que pour une fois j'ai vraiment l'impression que ça échappe totalement à la firme de Mountain View. (PS: on peut me classer parmi les apple-fan/addicts, mais là faut prendre un peu de recul quand même avant de troller...) Sources : http://korben.info/carrieriq-android.html
avatar napuconcture | 
Ce qui est embettant dans ce genre d'histoire ou l(on perds la confiance de fournisseurs en qui tu n'avais aucune suspicion à avioir c'est que l'on sombre rapidement dans la parano : Qu'est ce qui me dit que Samsung, HTC, et autres ne font pas pareil pour eux ? Idem pour cyanogen ? Le fait d'avoir les sources n'est pas un gage de sécurité : la version binaire peut etre différente de la version publié. Si on va encore plus loin dans la parano qu'est ce qui me dit que le sdk de google au moment de la compilation n'introduite pas de backdoor ? Comme cela c'était passé avec Ken Thompson sur Unix et le compilateur C. Quel que soit les fournisseurs, les solutions techniques sont complexes à mettre en oeuvre. De la même manière pour tout ce qui touche à la sécurité et cryptographie comment prouver que le gouvernement US ne met pas des backdoor dans les algo ? Il y a des milliards de lignes de codes à auditer, même des solutions propriétaire comme celles d'Apple et Microsoft reposes sur nombre de produits développés par des firmes, des écoles et tout ce code ne peut être audité totalement.
avatar winstonsmith | 
@monsterkill : Mon pauvre. Tu délires complètement. Oui, c'est grave, mais tu pars dans une sorte de parano-fleuve, c'est ridicule. Imouillard ne travaille pour personne, et je doute qu'aucune compagnie ne paye qui que ce soit pour commenter des articles sur MacGé. Je ne suis pas totalement d'accord avec ce qu'il dit, pourtant, mais tu te ridiculises en invoquant des complots intergalactiques totalement farfelus.
avatar napuconcture | 
@Rigat0n ça pourrait être un nouveau métier pour relancer l'économie : Troller. Renault VS peugeot, Train VS avion, Samsung & Sony, Apple vs Microsoft, Manger salé vs manger sucrer, se coucher tot ou se coucher tard, ... Il me semble que Google avait fait une annonce semaine dernière en disant au fabriquant d'anti spyware que c'était des voleurs, je pense qu'ils vont plutôt se frotter les mains.
avatar Cratès | 
@lmouillart Je viens de lire la majorité de tes interventions, tu en tiens une sacrée couche. J'espère que tu as conscience que tu te ridiculise ici ... Tu fais beaucoup trop d'amalgames.
avatar eipem | 
@lmouillart Ouais, enfin t'emballes pas non plus, monsterkill se passionne sûrement un peu trop mais t'es très loin d'être le dernier à troller. Et t'es pas non plus le dernier à balancer des inepties pour appuyer tes thèses. Pour faire plus simple, t'es même plutôt carrément partial, et t'as la fâcheuse habitude de déformer la réalité pour la faire correspondre à ta vision... Et là encore t'as bien eu du mal à pas tirer sur Apple pour défendre les autres constructeurs. Genre "Ouais ils le font c'est vrai mais ça m'étonnerai qu'Apple il le fasse pas aussi tu vois!" alors que je ne t'ai jamais entendu dire "Apple le fait mais les autres aussi"... Et je passe sur l'association totalement absurde du mouchard avec le rapport d'erreur... Enfin, dire qu'il n'y a pas si longtemps, on me traitait de mouton aveugle... C'est quand même à mourir de rire cette histoire... PS: on voit tout de suite la supériorité du monde libre sur le monde fermé. Ici n'importe qui peut faire ce qu'il veut du code... Au moins quand c'est Apple qui est responsable, on sait qui attaquer et qui va payer... Bref, à qui profite le crime? Et je ne peux pas non plus m'empêcher de penser qu'Apple a bien plus à perdre à déconner avec ce genres d'infos qu'à y gagner. N'oublions pas qu'avec ses marges colossales que nous, pauvres clients acceptons de lui verser, Apple n'est qu'un vendeur de matériel. Tout ça pour avoir du matériel moyennement innovant (sic) moyennement beau (re-sic) et moyennement puissant (re-re-sic) Jamais été aussi content d'être un mouton moi... J'vais aller brouter paisiblement ma verte prairie...
avatar eipem | 
Google est pas responsable, certes, mais ça me fait quand même penser au sketch de Desproges sur la responsabilité du scientifique. "mais pensez-vous ma chère, si j'avais su que l'on utiliserai mes travaux à des fins militaires, j'aurai fait de la broderie plutôt que de la recherche nucléaire"... Et puis c'est pas comme si Android était financé par la pub...
avatar Kevelian | 
@imoullart, au fur et a mesures de tes interventions on comprend facilement quel sont tes motivation réelle on connais pas encore ton client mais une chose est sûre il y en a un qui motive avec grand intérêt tes propos. Android viens de se faire prendre la main dans le sac, mais tu arrive a non seulement refuser de l’admettre et en plus accuser sans aucune preuve d’autre acteurs du marché qui sont probablement innocent. Cette histoire est suffisamment grave et va faire pas mal de dégâts dans ce domaine d’activité compliqué, pour que des nains comme toi viennent y rajouter leur FANBOYisme, l’idéal serais (on peu rêver) de faire profil bas et d’essayer de regagner la confiance des clients et des marchés PS: bien vu d’utiliser un autre pseudo pour prendre ta défense entre parenthèse le seul PS2: suggestion de slogan pour la prochaine pub d’un device Android: Caarier iQ inside
avatar napuconcture | 
Un autre pseudo ? Je n'ai pas besoin qu'on prenne ma défense. Je n'accuse pas Apple en particulier je dis que c'est tellement énorme que cela soulève un vent de suspicion sur l'ensemble des constructeurs qui ont pu travailler avec cet opérateur. Apple comme tu le sait est un des plus gros fournisseur de smartphone et ça m'étonnerais beaucoup que si un opérateur souhaite autant espionner ses clients il se gêne si ils ont des périphériques Apple, les méthodes sont peut être différentes ... Il n'y a peut être rien sur les ios, et autres os cités hormis Android. De ce que j'ai lu ils font ça car il y a une croissance exceptionnel sur Android et qu'lis veulent être capable d'identifier les besoins (en bp, en type de consommation : image, video, sms, surf, ) a quel endroid ils font quoi. Quand aux backdoors, il est impossible à priori pour Apple de savoir si il y en a dans ces produits, tout comme chez les autres éditeurs, à moins d'avoir des audits du code en permanences. C'est arrivé de nombreuses fois par exemple à SAP, ou des backdoor volontaires pour le support, ou involontaires se sont fait connaitre et permettaient à tout un chacun de court-circuit les mécanisme de sécurité, d'audit du système. Sur de nombreux appareils grand public il y en a. Sur les différents Unix il y en a eu plusieurs. Idem pour les développement fait en france, il y a des parties qui sont déclarés à la cnil et des parties dont les clients ont besoin qui ne le sont pas. Alors ont va dire que je fais des amalgames ... probablement mais en ce qui concernene le traitement automatisé d'information on ne peut être sur de rien. Par exemple tu sais comment sont traité les informations concernant siri ? les messages envoyés sont effacé, les textes sont conservé, pendant combien de temps, qui y a accès ? nuance est partenaire à elle accès aux données siri ? Les même question se posent bien entendu sur les SGSII avec la reconnaissance vocal.

Pages

CONNEXION UTILISATEUR