Carrier IQ, eine Software die das Nutzungsverhalten von Smartphonebenutzern aufzeichenen kann, ist in aller Munde. Auf über 140 Millionen Endgeräten soll die Software installiert sein, das bezieht sich nicht nur auf Android Smartphones. Offensichtlich wird die Software primär in den USA genutzt, ich habe noch von keinem Benutzer aus Deutschland gehört, der die Software auf seinem Gerät entdeckt hat.
Voodoo Carrier IQ Detection(Screenshot)
Wer allerdings auf Nummer sicher gehen möchte und sein Gerät auf die Carrier IQ Software überprüfen will, der kann es mittels einer kleinen App aus dem Android Market tun. Die App „Voodoo Carrier IQ detector“ (Android Market Direktlink), benötigt keinen Root Zugriff um die App zu erkennen. Sollte CarrierIQ auf dem Gerät gefunden werden, braucht es allerdings Root-Zugriff um sich dieser zu entledigen. Benutzer von Mods, wie dem Cyanogen Mod, sind nicht betroffen, hier ist die Software nicht enthalten.
Was Carrier IQ alles aufzeichnet hat Trevor Eckhart in einem Video festgehalten, äusserst informativ und sehenswert:
Carrier IQ ist jedoch recht leicht zu finden, auch ohne die oben vorgestellte App, die Bezeichnung als „Rootkit“ ist hier etwas inflationär verwendet worden, denn Rootkits bestechen vor allem dadurch, dass sie nicht sichtbar ihre düstere Arbeit verrichten.
Was sagt ihr zum Carrier IQ Thema? Lasst es uns in den Kommentaren wissen!
Auf Computern werden sie von jedem Virenscanner hochkant rausgeworfen: Die Keylogger. Berechtigt, denn jeder einzelne Tastenanschlag wird gespeichert und kann an Dritte übertragen werden. Die meisten werden sich denken, dass sie durch Virenscanner und Erfahrung sicher davor sind … wäre da nicht das geliebte Smartphone neben der Tastatur.
Das Smartphone als "kabelloser" Keylogger
Patrick Traynor, Professor an der Georgia Tech’s School of Computer Science hat ein Verfahren vorgestellt, mit dem es möglich ist, mithilfe eines Smartphones, Tastatureingaben direkt von der Tastatur „abzulesen“. Was das kleine Smartphone doch nicht alles kann? Nun sind Passwörter und Adressen nicht einmal mehr davor sicher. Das Verfahren ist einfach erklärt, benötigt aber eine enorme Feinjustierung. Getestet wurde es mit einem iPhone4 jedoch sind prinzipiell alle neueren Smartphones dafür geeignet.
Bei jedem Tastaturanschlag entstehen kleine Vibrationen, für uns natürlich nicht spürbar. Das Smartphone verfügt jedochüber eine ganze Reihe empfindlicher Sensoren, die es sogar möglich machen, ein Smartphone als Belichtungsmesser zu benutzen, oder um den eigenen Herzschlag zu ermitteln. Der Beschleunigungssensor kann nun dazu verwendet werden diese Vibrationen aufzuzeichnen. Anhand der Reihenfolge und Intensität der Vibrationen lässt sich eine ungefähre Position des Anschlages berechnen. Danach wird in einem Wörterbuch gesucht welches Wort denn in Frage kommt und darauf abgeglichen. Wer jetzt sagt das klappt doch nie … die Entwickler geben eine Erfolgsquote von 80% an.
Das Verfahren lässt sich nicht mit jedem Smartphone umsetzen, es kommt auf die Qualität der Sensoren an. Mit einem iPhone 3 war es beispielsweise absolut nicht möglich die Vibrationen präzise aufzuzeichnen. Im iPhone 4 ist zusätzlich ein Gyroskop verbaut, was die Qualität des Beschleunigungssensors steigert. Wenn man sich nun die neueren Smartphones mal anschaut, ein Galaxy Nexus kommt ebenfalls mit einem Gyroskop, ein paar andere High-End Geräte haben ebenfalls eines verbaut.
Diese Art Vibrationen aufzuzeichnen ist nicht neu, es ist schon mit Hilfe des eingebauten Mikrofons möglich . Das Mikrofon ist um einiges empfindlicher als die Sensoren. Das große aber allerdings: Die Betriebssysteme fragen bei der Installation einer App, die auf das Mikro zugreifen wollen, nach und zeigen dies an. Bei den Sensoren ist das in der Regel nicht so, was einen Angriff einfacher werden lässt. Zwar muss auf dem Smartphone erst die entsprechende Software installiert sein um die Tastatur zu belauschen aber es ist durchaus möglich das Spyware im Market etc. landet, was die Vergangenheit oft genug gezeigt hat.
Sollte nun doch jemand Angst davor haben abgehört zu werden: Lasst das Handy einfach in der Hosentasche oder legt es nicht in de Nähe der Tastatur! 🙂
Was meint ihr? Haltet ihr solche Angriffe für eine ernstzunehmende Gefahr?
