Mobiele provider kan elke toetsaanslag zien

Mobiele providers weten meer van je dan je denkt. Dat zou blijken uit een nieuw privacy-lek dat smartphonegebruikers treft. CarrierIQ, een verborgen programma dat standaard op veel telefoons geïnstalleerd staat om netwerkactiviteiten te monitoren, stuurt ongevraagd persoonlijke gegevens naar Amerikaanse providers door. Waaronder de inhoud van sms’jes en webverkeer dat eigenlijk beveiligd zou moeten zijn. Nederlandse bellers lijken voorlopig buiten schot te blijven.

IQ voor het netwerk

Vorige week bracht Android-ontwerper  Trevor Eckhart al naar buiten dat CarrierIQ te ver ging door toetsaanslagen te ‘loggen’ en door te sturen, zonder dat de gebruiker daar iets van af weet. CarrierIQ, ‘the only embedded analytics provider to support millions of devices’, wordt gebruikt door netwerkbeheerders om de kwaliteit van hun dienstverlening te verbeteren en het netwerk zo efficiënt mogelijk te benutten. DMaar daarvoor is het natuurlijk niet nodig om de inhoud te weten van sms-berichten of zelfs verkeer dat via wifi-netwerken verstuurd wordt.

Nadat het Amerikaanse bedrijf vergeefs met een rechtszaak dreigde, levert Eckhart deze week het video-bewijs dat een Android telefoon van HTC ongevraagd persoonlijke gegevens doorspeelt, waaronder de inhoud van sms’jes en beveiligd webverkeer. (zie hieronder).

Niet bij KPN, Vodafone of T-Mobile

De software - een rootkit die toegang heeft tot elk niveau van de telefoon - zou door telefoonmakers voorgeïnstalleerd worden op verzoek van providers. Eckhart zegt de software te hebben gevonden op  telefoons die draaien op Android, Windows, BlackBerry en volgens sommigen ook in enige mate in iOS. CarrierIQ beweert op zijn site zelf op meer dan 140 miljoen telefoons geïnstalleerd te zijn. Nokia en HTC ontkennen dat ze de software/spyware op hun toestellen installeren, hoewel Eckhart voor zijn video wel een HTC-toestel gebruikt.

Eckhart onderzocht toestellen die geleverd waren door de Amerikaanse providers Verizon Wireless, AT&T en Sprint. KPN, de grootste provider van Nederland, maakt geen gebruik van de diensten van Carrier IQ. Hetzelfde geldt voor Vodafone Nederland, hoewel Vodafone Portugal wel CarrierIQ gebruikt. T-Mobile’s reactie: ook wij doen geen zaken met CarrierIQ. Uit een oproep van Tweakers.net blijkt dat Nederlandse Android-gebruikers geen telefoons hebben waarop met CarrierIQ geïnstalleerd is.

Lees ook dit stuk op geek.comwebwereld.nl, verge.com.