Non saprete mai…

Ormai il caso è scoppiato, la questione di CarrierIQ, un software “diagnostico”, utilizzato da alcuni carrier e produttori negli USA per tenere d’occhio i problemi dei clienti pare che in effetti acceda a dati ben più personali che non la semplice statistica di quali applicazioni consumino più batteria, che per quanto mi riguarda è già un dato che nessuno dovrebbe vedere sul mio telefono, le applicazioni che ci girano sono solo affari miei.

Un ricercatore, Trevor Eckhart, ha scoperto questo vero e proprio rootkit e ne ha dimostrato l’attività, lavora persino quando la connettività è limitata al wi-fi, e secondo Eckhart, ci sono persino in evidenza le password in chiaro di connessioni https, oltre all’immancabile keylogger.

Sul sito di EFF si trova una dettagliata disamina di questo piccolo gioiello degno del Ministero dell’Amore. Quelli di EFF hanno schematizzato l’ambiente in quattro layer di codice (cito):

  1. The company, Carrier IQ, Inc.;
  2. a core software library that is written by Carrier IQ Inc. and which is present on all of the 150 million handsets;
  3. a Carrier IQ application or program running on a phone, which includes the software in layer 2, but also additional porting code written by handset manufacturers (sometimes called “original equipment manufacturers” or “OEMs”), mobile network operators (“telcos”), or baseband chipset manufacturers;
  4. the entire Carrier IQ stack, which includes the program described above as layer 3, but also often includes other code within a phone’s Operating System and Baseband Processor OS to send data to layer 3. Like layer 3, this code is written by handset manufacturers, telcos or baseband manufacturers.

Quello che hanno scoperto i ricercatori è che, su alcuni dispositivi, in effetti ci sono alcune operazioni che vengono loggate dal livello 4, ossia di un processo che gira nel vostro telefono, fatto di per sè sconcertante, ma c’è di peggio perché secondo EFF alcune porzioni di logging possono arrivare a livello 2, di fatto rendendo disponibili i dati attarverso una libreria a terzi o altri applicativi.

La scusa, o pretesto se vogliamo, per il momento, è la solita del “fornire un servizio migliore agli utenti” (cfr. Engadget), ma siccome a pensar male si fa peccato ma spesso ci si azzecca io rimango dell’idea che le cose non stiano proprio così e che la stragrande maggioranze degli utOnti disabiliterebbe questo servizio se avesse avuto l’opt-out nelle impostazioni del proprio device o almeno nella fase di setup iniziale, dopotutto, quanta gente conoscete che clicca “Sì” durante l’installazione di software che chiede il permesso di fornire “log anonimi”, mi viene in mente Chrome tanto per dirne uno.

E’ possibile, e sottolineo possibile, che un tale comportamento del sistema non fosse tra le specifiche e si tratti semplicemente di un bug, o meglio una “unexpected feature” 🙂 di tutto l’arnese, più o meno come accadde per il caso del famoso geolocation database nei terminali Apple.

MuckRock, sito che si occupa di recuperare informazioni utilizzando lo strumento del FOIA (Freedom of Information Act), ha chiesto lumi al FBI riguardo l’argomento e la risposta si può leggere qui, sostanzialmente la parte interessante è che rilasciare questa documentazione potrebbe interferire con investigazioni in corso, quindi di fatto pare che questi dati raccolti siano in qualche modo visibili ed utilizzati dal FBI. Uno potrebbe anche pensare che sia il solito scoop di un sito a ricerca di visite, chissà.

Tutta la questione è tutt’ora in uno stato fluido, questi sono i link che vengono aggiornati con più frequenza:

La verità è che la questione qui non è tanto open-source (android) o closed-source (apple, microsoft), il problema qui è che gli utenti non sapranno mai cosa sta effettivamente girando nei loro piccoli terminali. Sono ridicoli i tentativi da produttori/carrier di minimizzare la questione. C’è chi scrive “lo usavamo prima, ora non lo supportiamo e lo leveremo nei prossimi update” (Apple), “lo usiamo solo per monitorare e migliorare prestazioni di rete e qualità del servizio” (Sprint, AT&T), HTC è più furba e gira il cliente direttamente al carrier con la scusa che Carrier IQ è requisito di alcuni di essi. E’ orribile, il solo fatto che ci sia quel pezzo di software è già di per sè una violazione del privato. E’ come ammettere che è vero, avete quel software installato, ma noi non lo usiamo/useremo per prendere i vostri dati. Così si incrina profondamente il rapporto di fiducia tra utente, fornitori di servizio e produttori. Sono sempre stato diffidente a cambiare il mio vetusto telefono con un nuovo terminale, ora non ho nemmeno un rimasuglio di dubbio, la già vacillante fiducia è stata vaporizzata.

Ma la mia preoccupazione più grande è che la maggior parte degli utenti, anche se consapevoli della questione, non si facciano tanti problemi, ribattendo semplicemente “non ho niente da nascondere”, l’importante è avere l’ultimo gadget del momento, per il quale sono stati in coda per ore e acceso un finanziamento, l’importante è essere accettati dalla società, dove ormai la propria individualità si esprime attraverso il consumo di massa.

Leave a Reply

Your email address will not be published. Required fields are marked *