Auf 150 Millionen Mobiltelefonen weltweit könne man beobachten, wie Mobilgeräte "jeden Tag benutzt werden", meldete die US-Firma CarrierIQ im Oktober stolz. Damals schloss CarrierIQ eine Partnerschaft mit den Marktforschern von Nielsen. Die sollten anhand der CarrierIQ-Daten analysieren, welche Erfahrungen Konsumenten mit ihren Smartphones und Tablets machen - CarrierIQ verfüge da über eine "einzigartige Wissenquelle".
Wie weit das Wissen aus dieser einzigartigen Quelle reicht, erforscht der Systemadministrator Trevor Eckhart aus Connecticut. Der junge Mann entwickelt auch Anwendungen für Android-Smartphones und stieß bei der Arbeit auf die Software CarrierIQ. Das Programm war auf einem HTC-Gerät vorinstalliert, das Eckhart untersuchte. Die Software wird von Herstellern oder Mobilfunkanbietern auf von ihnen ausgelieferten Geräten vorm Verkauf an Kunden installiert.
Die Ergebnisse der bisherigen Analyses Eckhart sind beunruhigend. Die gut getarnte und für Laien nicht zu deaktivierende und schon gar nicht zu deinstallierende Überwachungssoftware von CarrierIQ hat dem Entwickler zufolge Zugriff auf sensible Informationen.
Trevor Eckhart sagt, dass die CarrierIQ-Software auf dem von ihm untersuchten Android-Smartphone …
…Zugriff auf Tastatureingaben hat.
…sehen kann, welche Websites er im Browser aufruft.
…bei einem per SSL verschlüsselten Zugriff auf die Google-Suche mitlesen kann, welche Suchanfrage er eintippt.
… Details der Login-Strings mitlesen kann, die bei der Anmeldung beim Bezahldienst PayPal anfallen.
…berechtigt ist, auf SMS-Nachrichten, Positionsdaten, das Adressbuch zuzugreifen und SMS-Nachrichten zu versenden und sogar Anrufe zu tätigen.
Wie die Auftraggeber der CarrierIQ-Installation auf diese Daten zugreifen können, versucht Eckhart in einem zweiten Artikel auf Basis von Lehrmaterial der Firma CarrierIQ nachzuvollziehen. Das Fazit des Entwicklers:
"Geräte werden auf dem Wartungsportal nach Gerätenummern oder Kundennummern angezeigt. Die Administratoren können die Geräte in Gruppen zusammenfassen, zum Beispiel, um zu sehen, bei welchen Geräten in Kalifornien um fünf Uhr abends die Netzverbindungen zusammengebrochen sind." Allerdings könne der Auswerter die von Telefonen übertragenen Daten auch so anzeigen: "Anstatt abgebrochene Netzverbindungen in Kalifornien zu analysieren, könnte man auch anzeigen, wo Herr XY an einem bestimmten Tag gewesen ist, was auf seinem Mobilgerät läuft, welche Tasten er drückt und welche Anwendungen er nutzt."
CarrierIQ: "Wir beobachten viele Aspekte der Geräteleistung"
CarrierIQ bestreitet, dass die Software zum Protokollieren von Tastatureingaben genutzt werden kann. Das Unternehmen teilt mit, die Software würde von Geräteherstellern und Netzbetreibern auf Mobilgeräten installiert, um "die Netzqualität zu verbessern und Probleme mit Endgeräten zu analysieren".
Das Unternehmen sagt, man beobachte "viele Aspekte der Geräteleistung", zeichne aber nicht "Tastatureingaben auf" und biete auch keine Funktion zum "Tracken" einzelner Geräte. Alle von den Endgeräten abgefragten Informationen würden "verschlüsselt und gesichert" in den Netzwerken der Kunden von CarrierIQ oder bei CarrierIQ selbst verwaltet.
Im Gespräch mit "Wired" sagte CarrierIQ-Marketingchef Andrew Coward, seine Firma lese keine Textnachrichten: "Wir zählen Dinge. Wie viele Kurznachrichten haben Sie gesendet, wie viele konnten nicht verschickt werden." Auf die Frage eines "Wired"-Redakteurs, ob die CarrierIQ-Software theoretisch Textnachrichten auf den Endgeräten auslesen könnte, antwortete Coward: "wahrscheinlich ja".
Welche Anbieter die CarrierIQ-Software auf ihren Geräten installieren, ist unklar. Ein Überblick:
HTC hat auf eine Anfrage zum Einsatz der Software in Deutschland nicht geantwortet. Zur Lage in den USA verweist HTC auf die Netzbetreiber: "HTC ist kein Kunde oder Partner von CarrierIQ, wir erhalten keine Daten von dieser Anwendung, der Firma oder den Netzbetreibern, die mit CarrierIQ zusammenarbeiten. HTC sucht nach Möglichkeiten, Kunden eine Option zum Deaktivieren der Datensammlung durch die CarrierIQ-Anwendung zu bieten."
Samsung Deutschland hat auf eine Anfrage bislang nicht geantwortet.
Laut dem iPhone-Hacker chpwn findet sich auf iPhone eine Version der CarrierIQ-Software, diese sei aber standardmäßig deaktiviert. Apple hat auf eine Anfrage nicht geantwortet.
Nokia bestreitet den Einsatz der Software: "CarrierIQ liefert keine Produkte für Nokia Geräte aus."
Deutsche Mobilfunkanbieter wollen Hersteller befragen
In Deutschland ist die Software bei den großen Mobilfunkanbietern nicht im Einsatz:
T-Mobile nutzt nach eigenen Angaben die Software Carrier IQ nicht. Ob und in welcher Firmware bei diversen Endgeräte-Hersteller diese Software zum Einsatz kommt, könne man aber nicht sagen. Um das zu klären, will T-Mobile die Geschäftspartner bitten, "umfänglich über implementierte Anwendungen zu informieren".
Auch O2 prüft derzeit, ob auf von Herstellern gelieferten Geräten solche Software installiert ist. Eine Sprecherin sagt: "Nach unserem jetzigen Kenntnisstand wurden keinerlei Kundendaten an uns übermittelt."
Vodafone Deutschland nutzt laut einem Sprecher "CarrierIQ und andere Diagnosesoftware nicht".
Ein Sprecher der E-Plus-Gruppe sagt, dass die Firma die Software CarrierIQ und vergleichbare Diagnose-Software nicht einsetzt.
Die Freenet-Gruppe (Debitel/Mobilcom/Klarmobil/Callmobile) hat eine Anfrage nicht beantwortet.
Wie weit das Wissen aus dieser einzigartigen Quelle reicht, erforscht der Systemadministrator Trevor Eckhart aus Connecticut. Der junge Mann entwickelt auch Anwendungen für Android-Smartphones und stieß bei der Arbeit auf die Software CarrierIQ. Das Programm war auf einem HTC-Gerät vorinstalliert, das Eckhart untersuchte. Die Software wird von Herstellern oder Mobilfunkanbietern auf von ihnen ausgelieferten Geräten vorm Verkauf an Kunden installiert.
Die Ergebnisse der bisherigen Analyses Eckhart sind beunruhigend. Die gut getarnte und für Laien nicht zu deaktivierende und schon gar nicht zu deinstallierende Überwachungssoftware von CarrierIQ hat dem Entwickler zufolge Zugriff auf sensible Informationen.
Trevor Eckhart sagt, dass die CarrierIQ-Software auf dem von ihm untersuchten Android-Smartphone …
…Zugriff auf Tastatureingaben hat.
…sehen kann, welche Websites er im Browser aufruft.
…bei einem per SSL verschlüsselten Zugriff auf die Google-Suche mitlesen kann, welche Suchanfrage er eintippt.
… Details der Login-Strings mitlesen kann, die bei der Anmeldung beim Bezahldienst PayPal anfallen.
…berechtigt ist, auf SMS-Nachrichten, Positionsdaten, das Adressbuch zuzugreifen und SMS-Nachrichten zu versenden und sogar Anrufe zu tätigen.
Wie die Auftraggeber der CarrierIQ-Installation auf diese Daten zugreifen können, versucht Eckhart in einem zweiten Artikel auf Basis von Lehrmaterial der Firma CarrierIQ nachzuvollziehen. Das Fazit des Entwicklers:
"Geräte werden auf dem Wartungsportal nach Gerätenummern oder Kundennummern angezeigt. Die Administratoren können die Geräte in Gruppen zusammenfassen, zum Beispiel, um zu sehen, bei welchen Geräten in Kalifornien um fünf Uhr abends die Netzverbindungen zusammengebrochen sind." Allerdings könne der Auswerter die von Telefonen übertragenen Daten auch so anzeigen: "Anstatt abgebrochene Netzverbindungen in Kalifornien zu analysieren, könnte man auch anzeigen, wo Herr XY an einem bestimmten Tag gewesen ist, was auf seinem Mobilgerät läuft, welche Tasten er drückt und welche Anwendungen er nutzt."
CarrierIQ: "Wir beobachten viele Aspekte der Geräteleistung"
CarrierIQ bestreitet, dass die Software zum Protokollieren von Tastatureingaben genutzt werden kann. Das Unternehmen teilt mit, die Software würde von Geräteherstellern und Netzbetreibern auf Mobilgeräten installiert, um "die Netzqualität zu verbessern und Probleme mit Endgeräten zu analysieren".
Das Unternehmen sagt, man beobachte "viele Aspekte der Geräteleistung", zeichne aber nicht "Tastatureingaben auf" und biete auch keine Funktion zum "Tracken" einzelner Geräte. Alle von den Endgeräten abgefragten Informationen würden "verschlüsselt und gesichert" in den Netzwerken der Kunden von CarrierIQ oder bei CarrierIQ selbst verwaltet.
Im Gespräch mit "Wired" sagte CarrierIQ-Marketingchef Andrew Coward, seine Firma lese keine Textnachrichten: "Wir zählen Dinge. Wie viele Kurznachrichten haben Sie gesendet, wie viele konnten nicht verschickt werden." Auf die Frage eines "Wired"-Redakteurs, ob die CarrierIQ-Software theoretisch Textnachrichten auf den Endgeräten auslesen könnte, antwortete Coward: "wahrscheinlich ja".
Welche Anbieter die CarrierIQ-Software auf ihren Geräten installieren, ist unklar. Ein Überblick:
HTC hat auf eine Anfrage zum Einsatz der Software in Deutschland nicht geantwortet. Zur Lage in den USA verweist HTC auf die Netzbetreiber: "HTC ist kein Kunde oder Partner von CarrierIQ, wir erhalten keine Daten von dieser Anwendung, der Firma oder den Netzbetreibern, die mit CarrierIQ zusammenarbeiten. HTC sucht nach Möglichkeiten, Kunden eine Option zum Deaktivieren der Datensammlung durch die CarrierIQ-Anwendung zu bieten."
Samsung Deutschland hat auf eine Anfrage bislang nicht geantwortet.
Laut dem iPhone-Hacker chpwn findet sich auf iPhone eine Version der CarrierIQ-Software, diese sei aber standardmäßig deaktiviert. Apple hat auf eine Anfrage nicht geantwortet.
Nokia bestreitet den Einsatz der Software: "CarrierIQ liefert keine Produkte für Nokia Geräte aus."
Deutsche Mobilfunkanbieter wollen Hersteller befragen
In Deutschland ist die Software bei den großen Mobilfunkanbietern nicht im Einsatz:
T-Mobile nutzt nach eigenen Angaben die Software Carrier IQ nicht. Ob und in welcher Firmware bei diversen Endgeräte-Hersteller diese Software zum Einsatz kommt, könne man aber nicht sagen. Um das zu klären, will T-Mobile die Geschäftspartner bitten, "umfänglich über implementierte Anwendungen zu informieren".
Auch O2 prüft derzeit, ob auf von Herstellern gelieferten Geräten solche Software installiert ist. Eine Sprecherin sagt: "Nach unserem jetzigen Kenntnisstand wurden keinerlei Kundendaten an uns übermittelt."
Vodafone Deutschland nutzt laut einem Sprecher "CarrierIQ und andere Diagnosesoftware nicht".
Ein Sprecher der E-Plus-Gruppe sagt, dass die Firma die Software CarrierIQ und vergleichbare Diagnose-Software nicht einsetzt.
Die Freenet-Gruppe (Debitel/Mobilcom/Klarmobil/Callmobile) hat eine Anfrage nicht beantwortet.