Czy naprawdę powinniśmy bać się Carrier IQ?
Informacje na temat aplikacji Carrier IQ, zaszytej w oprogramowaniu systemowym milionów urządzeń na całym świecie, będącej w stanie śledzić większość naszych poczynań na smartfonie, a następnie przesyłająca część z nich do specjalnych baz danych, dostała się do internetu dobrych kilka dni temu, aby niedługo później dosłownie eksplodować, stając się jednym z najgorętszych tematów. Jej instalacji wyparła się większość producentów oraz część operatorów, jednak problem wydaje się stawać coraz poważniejszy, a całą sprawą zaczynają już interesować się nie tylko media, ale i politycy. Czy jednak słusznie?
Dla przypomnienia: odkryte przez Trevora Eckharta oprogramowanie, przygotowane przez firmę Carrier IQ zostało odnalezione w początkowo w licznych telefonach wyposażonych w system operacyjny Android, a w późniejszym czasie inni badacze potwierdzili jego obecność (w różnych formach) również w urządzeniach z systemem BlackBerry OS czy iOS. W teorii możliwości CIQ są praktycznie nieograniczone – jest w stanie nadzorować praktycznie każdą naszą akcję – od naciśnięcia klawisza na klawiaturze wirtualnej/ekranowej, przez wykonywane połączenia aż po przeglądane za pomocą smartfonowej przeglądarki strony internetowe.
Część z producentów wyparła się całkowicie stosowania takich praktyk (RIM, Microsoft, Nokia), część stwierdziła, że wymuszają to na nich operatorzy (HTC, Samsung), a niektórzy jawnie przyznali się do instalacji CIQ, jednak jej aktywacja musiała być wykonana przez użytkownika i i tak planują się jej całkowicie w najbliższym czasie pozbyć (Apple). Większość operatorów również nie przyznaje się do korzystania z usług Carrier IQ, zarówno w USA, jak i w Europie. Z dość licznej grupy podejrzanych, do „winy” przyznało się wyłącznie AT&T oraz Sprint. Brytyjskie Vodafone i O2 oraz cały France Telekom nie mają sobie nic do zarzucenia, a jedynym europejskim podejrzanym zdaje się być portugalski odział Vodafone, który według danych podanych przez Carrier IQ przygotowywał się do wprowadzenia tego rozwiązania również w swojej sieci.
W teorii więc nikt praktycznie nikt nie przyznaje się do korzystania z możliwości tego oprogramowania, ale w praktyce ponad 140 milionów ludzi na całym świecie może mieć ukrytego w systemie „szpiega”, który dostarcza operatorom odpowiednich informacji na ich temat. Pytanie tylko, czy naprawdę warto się tym przejmować? Na podstawie ankiet przeprowadzonych w ostatnich godzinach przez różne portale internetowe i komentarzy pod artykułami na ten temat, wydaje się, że nagle obecność CIQ w telefonie (albo przynajmniej podejrzenie o to) może być dla znakomitej większości kupujących motywacją do rezygnacji z zakupu określonego modelu lub podpisania umowy z danym operatorem.
W rzeczywistości, zapoczątkowana wczoraj afera związana z Carrier IQ nie jest pierwszą. Wczesne sygnały na ten temat dotarły do internetu już na przełomie maja i czerwca (!) tego roku i również pojawiły się na stronach XDA-Developers. Pomimo usilnych starań, niestety nie udało się wtedy wywołać burzy podobnej do tej, która ma miejsce obecnie, ale mimo wszystko informacja ta dotarła do wielu świadomych użytkowników w praktycznie tej samej formie co teraz. Czy coś się wtedy stało? Nic. Czy ktoś nie wybrał określonego telefonu właśnie z powodu CIQ? Nie. Tym razem mamy powtórkę z rozrywki – trochę głośniejszą, ale jednak prawdopodobnie skończy się dokładnie tak samo.
Carrier IQ, podstawiony praktycznie pod ścianą, zdecydował przynajmniej nieco oczyścić swoje imię i wytłumaczyć, jak faktycznie działa przygotowane przez niego oprogramowanie, a nie wyłącznie jakie ma czysto teoretyczne możliwości. Okazuje się, że jednym jest to co program „widzi” a drugim to, co program w ogóle zapisuje i przesyła dalej. CIQ nie czyta więc naszych wiadomości ani nie zapisuje ich treści i nie dzieli się nią z nikim – zapisuje jedynie jej rozmiar, datę wysłania/otrzymania i adresata/nadawcę – tyle, ile może bez problemu zrobić nasz operator. CIQ wie (i dzieli się informacją z operatorem) na temat stron, które odwiedzamy, ale nie udostępnia nikomu treści tej strony, ani dokładnych akcji, których na niej wykonamy. CIQ nie pobiera również naszej listy kontaktów – jedynie zapisuje, do których z nich dzwonimy najczęściej, a to i tak w formie „czystych” numerów, do których oczywiście dostęp również ma operatora. Ma również informacje o naszej lokalizacji, ale wykorzysta ją tylko w dokładnie określonych sytuacjach – np. w momencie, kiedy nasze połączenie zostanie nieoczekiwanie przerwane lub SMS „odbije się” od sieci, zostaną pobrane informacje na temat miejsca, w których taka operacja się nie udała.
Nie brzmi to specjalnie groźnie, zwłaszcza przy założeniu, że CIQ dostępu do tych danych nie ma (mają go tylko operatorzy) i fakcie, że tak naprawdę sieci komórkowe nie interesuje w żaden sposób np. treść naszej wiadomości, która w większości przypadków nie ma dla nich żadnego znaczenia. Liczy się to ile ich wysłaliśmy albo dlaczego nie udało nam się ich wysłać w ogóle.
Podobną sytuację mieliśmy też niedawno na naszym lokalnym podwórku, przy okazji akcji TestujSmartfona zorganizowanej przez Play. Wtedy też wybuchła ogromna afera o podobne zachowanie operatora, który miał śledzić wszystkich korzystających z możliwości zabawy z darmowym smartfonem. Okazało się jednak, że jest niemal tak samo jak z CIQ – do operatora przesyłane są praktycznie zupełnie bezwartościowe informacje (jeśli chodzi o bezpieczeństwo i prywatność użytkownika), takie jak nawiązanie połączenia głosowego, aktywacja przeglądarki czy wysłania/odebrania SMS albo innej wiadomości. Afera była oczywiście na o wiele mniejszą skalę, ale zakończyła się, zanim praktycznie udało jej się zdobyć prawdziwy rozgłos.
Trudno jednoznacznie ocenić czy stosowanie Carrier IQ jest faktycznie złe pod każdym względem, czy może tylko media rozdmuchały całą awanturę. Należy się jednak zastanowić nad tym, gdzie przebiega dość umowna granica pomiędzy nadzorowaniem sieci i działaniami mającymi na celu poprawę jej funkcjonowania a zwykłym śledzeniem użytkownika. W końcu, nawet jeśli Carrier IQ przegra wszystkie sprawy sądowe, które najprawdopodobniej zostaną mu wytoczone w najbliższym czasie i ostatecznie upadnie, operatorzy znajdą inny sposób na tego typu kontrolę. I tak prawdopodobnie mają ją już większą, niż jesteśmy w stanie przypuszczać.