本文發表於《大眾科學》的前部落格網路,僅反映作者的觀點,不一定反映《大眾科學》的觀點
美國手機使用者不喜歡在無線裝置上花費大量資金。因此,許多人同意與 AT&T、Sprint、Verizon 和其他無線運營商簽訂限制性合同,以便獲得優惠的價格。然而,直到最近發現 Carrier IQ 的分析軟體執行在各種移動裝置上(包括 Apple iPhones 和 Google Android 手機)的軒然大波之前,大多數消費者都沒有意識到他們也對安裝在他們購買的高額補貼手機上的軟體幾乎沒有控制權。同樣不清楚的是,Carrier IQ 的軟體透過收集和儲存有關個人手機使用方式和地點的資料,會造成多大的安全和隱私風險。
Carrier IQ 將其軟體(在全球超過 1.41 億部手機上安裝)定位為移動代理,透過提供有關客戶使用模式的資料,幫助運營商改善無線客戶的服務。Carrier IQ 執行長拉里·倫哈特在最近釋出到 YouTube 的影片中表示,這些改進包括減少掉話和延長裝置電池壽命。
幾周前,當 軟體開發人員特雷弗·埃克哈特在他的 Android 安全部落格上指出 Carrier IQ 可以訪問儲存在手機上的各種資訊時,關於該公司還可以利用其收集的資訊做什麼的爭議出現了,這些資訊包括“製造商和型號、可用記憶體和電池壽命、裝置上常駐的應用程式型別、裝置的地理位置、終端使用者在裝置上按下的按鍵、裝置的使用歷史,包括那些表徵使用者與裝置互動的資訊”。埃克哈特聲稱從一份 Carrier IQ 專利申請中獲得了這些資訊,然後自己測試了該軟體。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將有助於確保關於塑造我們當今世界的發現和想法的具有影響力的故事的未來。
埃克哈特隨後聲稱 Carrier IQ 是一個“rootkit(rootkit)”,它記錄行動電話使用者活動和位置,這促使該公司獲得了一份停止令,但當埃克哈特聘請了 電子前沿基金會後,該停止令被撤銷。Rootkit 是一個載入了網路安全術語的詞,指的是在未經使用者同意或知情的情況下安裝的用於跟蹤裝置活動的鍵盤記錄、特洛伊木馬或其他軟體。最近,軟體開發人員格蘭特·保羅(又名 chpwn)聲稱 Carrier IQ 也安裝在 iPhone 以及最初由埃克哈特確定的 Android、黑莓和諾基亞手機上。正如 Macworld.com 週四指出的那樣,蘋果公司此後與 Carrier IQ 拉開了距離。
印第安納大學伯明頓分校資訊學與計算學院的隱私和安全研究員 克里斯·索霍吉安 說,比 Carrier IQ 正在收集敏感資料的證據更令人不安的是,缺乏證據表明該公司知道如何保護這些資料。“你的手機上執行著這個應用程式,它基本上擁有完全的許可權——能夠訪問使用者的電子郵件、電話、位置資訊、簡訊和照片——它就只是在那裡,”他補充道。“即使你相信 Carrier IQ 是善意的,或者相信運營商沒有收到這些資訊,但當駭客想出如何利用這些資訊時,你仍然會面臨一場迫在眉睫的安全危機。這對駭客、情報機構或執法部門來說絕對是一座金礦。”
考慮到今年早些時候加利福尼亞州最高法院的案件授予警方在沒有搜查令的情況下搜查手機的權力,間諜機構或執法部門可能利用 Carrier IQ 訪問私人資訊的想法尤其具有現實意義。
索霍吉安說,Carrier IQ 的軟體就像“住在你手機裡的一個小精靈,如果被要求這樣做,它有能力向其他人彙報”,索霍吉安也是印第安納大學應用網路安全研究中心的研究員。儘管 Carrier IQ 聲稱它正在努力提高呼叫者的網路效能,但索霍吉安補充說,該公司是由運營商僱傭的,效能改進只是收集到的使用者資料可能被用來做的用途的一個次要方面。
對 Carrier IQ 以及允許安裝該軟體的手機制造商和運營商的強烈反對已經蔓延開來。美國參議員阿爾·弗蘭肯(明尼蘇達州民主黨)(pdf)和眾議員埃德·馬基(馬薩諸塞州民主黨)已經呼籲對 Carrier IQ 在手機上的存在進行調查。德國巴伐利亞州資料保護局已聯絡蘋果公司,以瞭解更多關於其在 Carrier IQ 使用中的作用。據 彭博社報道,英國、法國、愛爾蘭和義大利的監管機構也正在審查 Carrier IQ 是否在其管轄範圍內使用。
當政策制定者質疑該公司的意圖時,索霍吉安對預謀的想法嗤之以鼻。“與其假設該公司是不懷好意的,不如假設他們是無能的要好得多,”索霍吉安說。“假設他們無能和不稱職總是更安全的,而且在這種情況下,似乎有大量的證據表明兩者都存在。”
圖片由 Martin McCarthy 提供,透過 iStockphoto.com