一款手机数据记录软件CarrierIQ(下文俗称CIQ)在全球掀起了一股“涉密丑闻”的风暴。包括苹果、HTC、三星、摩托罗拉和美国运营商AT&T、Sprint、T-Mobile等6家公司,均被牵涉其中。
12月3日有境外媒体报道,由于涉嫌违反美国联邦反窃听法,CIQ以及HTC和三星电子两家手机厂商遭到美国用户的集体诉讼。CIQ已经在密苏里州和伊利诺伊州遭遇集体诉讼。
昨日(12月6日)有消息传出,目前欧洲监管部门已开始对跟踪软件CIQ的使用展开调查,以确保手机厂商和移动运营商不会侵犯用户隐私权。另据《每日经济新闻》了解,部分国产机型也发现了CIQ软件,对此相关公司表示,目前正在开会研究此事,暂时没有进一步的消息对外透露。
业内分析称,CarrierIQ占领了全球1.41亿部终端。如果以每年数千万部水货手机的输入量推算,国内饱受“CIQ隐私门”困扰的用户也在百万量级,这或许是截至目前全球范围影响最大的手机隐私监听事件。
CIQ与手机厂商“互咬”
据《每日经济新闻》了解,25岁的Android系统安全研究员特维尔·艾克哈特(TrevorEckhart)此前公布视频称,CarrierIQ旗下软件在幕后记录了用户向安全站点发送的信息。
而这也引起了全球的安全厂商的注意,直到上周六CIQ以及HTC和三星电子均为此被告上了法庭。这场集体诉讼声称,上述公司违反了将近1.5亿位用户的数字隐私权。
随后,苹果、HTC及三星等手机制造商及运营商纷纷发表澄清声明,而这种同CIQ划清界线的态度也“惹怒”了CIQ。CIQ称,公司旗下软件为服务提供商及智能手机厂商,就手机的性能问题收集相关数据,如短信是否被准确发送或者一款应用是否会消耗电池等。
CIQ营销副总裁安德鲁·卡瓦德(AndrewCoward)在接受媒体采访时表示,收集用户信息的责任不在该公司,而在手机厂商。他指出,这次收集用户信息风波的中心问题之一是,部分HTC手机以文本方式保存机密信息。业界之前认为这是CIQ带来的安全漏洞。但卡瓦德称,创建该文件的并非是CIQ软件,该为此负责的是手机制造商合作伙伴。
对于CIQ的指责,HTC在昨日回复《每日经济新闻》的声明中指出,CIQ仅出现在HTC面向美国市场发售的产品中,HTC与CIQ没有合作关系,并且没有从CIQ公司及其应用,以及与CIQ有合作伙伴关系的运营商处获取任何数据信息。HTC正在考虑如何使消费者卸载该应用。
窃听的灰色链条
TitleOWASP中国区西南地区Joey在接受《每日经济新闻》采访时表示,CIQ的监控功能权限太高,而且基本上在属于明知会侵犯用户隐私的情况下依然监听并上传了用户的通讯数据,“但是一家普通的手机应用软件提供商是无法完成这一动作的。”
网秦手机安全专家则表示,CIQ的主要特征是能通过后台静默上传用户手机中的隐私内容,且采用了不固定的数据上传周期,在用户自己很难全面掌控手机联网状态的情况下,将无法清晰查询到其在后台运行的轨迹,并且不具有移除选项。
据《每日经济新闻》了解,CIQ事件并非是Android手机隐私泄露的首个事件,事实上,据金山手机安全中心统计,在一年时间内,Android平台上爆发的影响较大的此类事件就已超过10起。
据一位Android第三方应用商店人士透露,手机监听等病毒主要为获得经济利益或者用户统计分析,涉及一些ROM制作商、应用开发商、第三方应用商店、手机厂商、下载渠道甚至运营商等众多环节。
金山手机安全专家李铁军对《每日经济新闻》表示,隐私监听应用或病毒进入用户手机的渠道主要包括水货手机刷机包(ROM)、第三方应用商店等非官方下载渠道、恶意捆绑等,窃密应用不少还直接偷偷定购SP业务,并购买游戏充值卡,直接吸取用户话费,有些应用还会在后台偷偷安装其他程序,赚取推广费用;有的还主动打开指定浏览器导航页,赚取广告费,同时偷偷消耗了用户手机流量。部分制造商和运营商声明苹果:自从iOS5发布以后,大部分设备已停用CIQ,未来的软件更新彻底移除该软件。
HTC和三星:终端确实装有CIQ,但是运营商要求预装,数据直接发送至运营商服务器,与终端商无关。
AT&T和Sprint:使用该应用的主要目的是为了改善无线网络表现。