Sicherheitsforscher: Carrier IQ ist kein Keylogger

Der renommierte Sicherheitsexperte Dan Rosenberg hat die umstrittene Software Carrier IQ gründlich analysiert und ist zum Schluss gekommen, dass sie nicht in der Lage ist, Tastatureingaben von Smartphones aufzuzeichnen oder die Inhalte privater SMS-Nachrichten und E-Mails zu übermitteln. Das war vielfach berichtet worden, nachdem Android-Entwickler Trevor Eckhart auf die Software stieß. Seine Veröffentlichung löste neben zahlreichen Medienberichten über „Spähsoftware“ und einen „Sicherheitsskandal“ sogar ungewohnt schnelle Reaktionen von US-Politik und europäischen Regulierern aus. Carrier IQ wird vor allem von US-Netzbetreibern auf den von ihnen angebotenen Smartphones als Diagnosetool mit der Begründung vorinstalliert, dass es zur Verbesserung ihrer Netzwerkqualität beitragen soll.

Rosenberg hat sich als „Linux-Kernel-Hacker“ einen Namen gemacht, der über 100 Sicherheitslücken im Linux-Kernel, in FreeBSD und in GNU-Utilities entdeckte. In einem Blogeintrag veröffentlichte er die Ergebnisse seiner Analyse anhand der Daten, die Carrier IQ auf einem Samsung Epic 4G Touch sammelt und übermittelt: „Carrier IQ kann die Textinhalte von SMS, Webseiten und E-Mails nicht aufzeichnen, selbst wenn es Netzbetreiber und Gerätehersteller in einer solchen Weise missbrauchen wollten. Es gibt einfach keine Metrik, die diese Informationen enthält.“

Wie der Sicherheitsforscher herausfand, konnte die Software auf dem von ihm untersuchten Smartphone die betätigten Wähltasten aufzeichnen, aber keine anderen Eingaben. Sie konnte in einigen Situationen GPS-Ortsdaten übermitteln. Darüber hinaus konnte sie die URLs besuchter Webseiten – HTTPS wie HTTP – aufzeichnen, aber in keinem Fall die Inhalte dieser Seiten. Zu den Metriken erfassbarer Daten gehörten beispielsweise Verbindungsabbrüche, Ortswechsel, Page-Rendering sowie Senden und Empfang von SMS-Nachrichten.

Was Carrier IQ von den erfassbaren Daten tatsächlich überträgt, hängt letztlich von den Anforderungen der Netzbetreiber ab. Nicht zuletzt ihr heimliches Vorgehen war geeignet, Misstrauen auszulösen. Die US-Mobilfunkanbieter Sprint und AT&T haben die Nutzung von Carrier IQ eingeräumt. Sie wollten gegenüber ZDNet aber nicht näher ausführen, welche Optionen der Software sie nutzen. Sie verwiesen stattdessen darauf, dass die Nutzung ihren Datenschutzerklärungen entsprechend erfolge. T-Mobile USA bestätigte ebenfalls die Vorinstallation des „Diagnosetools“ auf Geräten von RIM, HTC, Samsung und LG.

Softwarehersteller Carrier IQ hatte zunächst versucht, Eckharts Veröffentlichung über die gleichnamige Software mit juristischen Mitteln zu verhindern. Das scheiterte nicht nur, sondern sorgte für noch größeres Aufsehen. Inzwischen geht der Anbieter selbst an die Öffentlichkeit und hat in einem ausführlichen Interview mit The Verge zuvor ungenannte Details preisgegeben. Sein Unternehmen sammle Daten auch in eigenen Datenzentren, erklärte Andrew Coward, Vice President von Carrier IQ. Die Speicherung erfolge im Auftrag der Netzbetreiber und durchschnittlich rund 30 Tage lang. Zu den Auftraggebern gehörten nicht nur Mobilfunkanbieter, sondern auch Gerätehersteller, die mit den erhaltenen Informationen ihre Geräte verbessern wollten. Ihre Namen könne er jedoch nicht nennen.

Coward plädierte in dem Gespräch selbst dafür, dass die Netzbetreiber Daten nur nach einer ausdrücklichen Zustimmung der Nutzer sammeln dürfen. Die Software sei vor sechs Jahren zunächst als ein Dienst für herkömmliche „Feature Phones“ entwickelt worden, um ähnlich wie etwa die Debugging-Software eines Herstellers im Hintergrund zu laufen. Die Netzbetreiber hätten die Geräte damals einfach als eine Erweiterung ihrer Netzwerke gesehen. Bei modernen Smartphones mit Apps aber gebe es eine begründete Erwartung der Käufer, dass es sich um ihre eigenen Geräte handelt, über die sie selbst bestimmen können.

Mindestens Opt-out fordert auch Sicherheitsforscher Dan Rosenberg, obwohl er keine bösartigen Absichten der Software ermitteln konnte. Netzbetreiber und Gerätehersteller sollten diese Option anbieten und transparent über gesammelte Nutzerdaten informieren. Er hält sogar eine unabhängige Aufsicht von dritter Seite für notwendig, um Missbrauch zu vermeiden. Zu überprüfen sei zudem, ob es rechtmäßig ist, vollständige URLs mit Suchparametern und ähnliche Daten zu erfassen.