141 milioni di telefoni spioni, Android e iPhone con il rootkit

Nei telefoni Android, Blackberry, iPhone c'è un software di tracciamento che registra praticamente tutte le attività del telefono e le trasmette a un server remoto. Il software, un vero e proprio rootkit, si chiama IQRD, ed è prodotto da Carrier IQ, azienda che conta tra i propri clienti praticamente tutti gli operatori telefonici e i produttori di smartphone del mondo. Uno strumento che stando al sito web dell'azienda raggiunge 141 milioni di telefoni solo negli Stati Uniti.  

Trevor Eckhart ha scoperto che Carrier IQ stila una lista delle attività del telefono, compresi SMS ed email. È perfino in grado di registrare i dati inseriti tramite la tastiera del dispositivo. Fatti che hanno portato il ricercatore a scrivere che "Carrier IQ vende un rootkit incluso in molti dispositivi venduti negli USA".

Home page di Carrier IQ

Secondo alcuni osservatori CIQ potrebbe essere semplicemente uno strumento nelle mani delle autorità statunitensi, che grazie al famigerato Patriot Act hanno l'autorità per spiare ogni comunicazione elettronica. Un'ipotesi però tutta da verificare, perché sembra che non ci siano tracce di collaborazione tra l'azienda e la CIA; ma vista la questione, l'assenza di una chiara evidenza non dimostra alcunché. Anche se fosse, l'operato di Carrier IQ e degli operatori telefonici sarebbe una chiara violazione delle leggi sulle intercettazioni, che negli Stati Uniti sono più permissive di quelle che abbiamo noi.

Per quanto riguarda l'Europa e l'Italia le leggi vigenti dovrebbero offrire qualche garanzia in più, ma non è probabilmente il caso di metterci la mano sul fuoco, visto che Carrier IQ ha una sede e un vicepresidente per l'Europa.  

"Carrier IQ è il leader di mercato nelle soluzioni di Mobile Service Intelligence che ha rivoluzionato il modo in cui gli operatori e i venditori di dispositivi ottengono e gestiscono le informazioni sugli utenti", si legge invece sul sito dell'azienda. Quest'ultima non ha apprezzato la ricerca di Eckhart e ha anche provato a far tacere il ricercatore con un'ingiunzione (PDF), che ha poi dovuto ritirato quando il venticinquenne ha chiesto e ottenuto l'appoggio della EFF (Electronic Frontier Foundation). E così Eckhart ha rincarato la dose con un video dove dimostra che il loro software è anche un keylogger, cioè registra ciò che inseriamo con la tastiera. Sul suo blog potete invece trovare una descrizione testuale di questo software.

Il video di Trevor Eckhart

La situazione tuttavia non è la stessa per tutti i telefoni. Sembra che il software sia assente dagli smartphone della famiglia Nexus. Questo indicherebbe che l'azienda di Mountain View abbia voluto proteggere i prodotti "Google Experience". Come fa notare Nilay Patel su The Verge però è strano che Google lasci fare sugli altri terminali Android, visto che in passato ha impedito a Motorola e HTC d'inserire applicazioni terze per il tracciamento del Wi-Fi.

Tutto tranquillo invece per i prodotti Windows Phone: almeno per ora sembra che Microsoft abbia posto il veto sulla presenza di IQRD. I file di Carrier IQ si trovano anche sull'iPhone di Apple, ma dalle prime analisi sembra che si possano disabilitare agendo sulle impostazioni, in particolare disattivando l'invio automatico di informazioni diagnostiche in iOS5. Nel caso dello smartphone Apple inoltre sembra che le informazioni inviate siano molto più limitate. Gli iPhone, inoltre, sarebbero in grado d'inviare informazioni solo sotto copertura Wi-Fi e non 3G.

Restano tutti gli altri prodotti Android, i Nokia "non Windows" e i BlackBerry. Milioni e milioni di telefoni che registrano le attività degli utenti e spediscono le informazioni agli operatori telefonici. Chi ha un terminale Android può almeno contare sulla possibilità di sostituire l'intero sistema operativo con uno "fatto in casa", ma non è certo un'opzione alla portata di tutti.

Carrier IQ si è vista costretta a pubblicare una comunicazione ufficiale (PDF) per spiegare che cosa sta accadendo. Il testo non è molto illuminante, n'è particolarmente chiarificatore. L'azienda per esempio non afferma esplicitamente che le informazioni non siano spedite, anzi lascia intendere che gli operatori vi abbiano accesso e che possano anche rivenderle.

In chiusura, CIQ sembra inoltre tentare un poco elegante scarica barile. "Ogni cliente (operatori e produttori, NdR) è diverso e la nostra tecnologia è personalizzate secondo i loro bisogni e i requisiti legali". Una cosa che secondo John Gruber si potrebbe tradurre come non denunciate noi, denunciate loro.

Carrier IQ cerca di spiegare

Insomma, gli elementi per lo scandalo ci sono tutti. Considerando il polverone che si è alzato in passato quando si scoprì che Google, Apple e Microsoft in qualche modo tracciavano gli utenti dei rispettivi smartphone. Questo nuovo caso sembra destinato a diventare la madre di tutti gli scandali, almeno per quanto riguarda la violazione della privacy degli utenti.

E per una volta non si tratta solo di iPhone contro Android contro WP7 in senso generale. Questa volta a finire alla gogna saranno quasi certamente gli operatori telefonici e i produttori che usano questo software, e di certo la questione non si fermerà a Carrier IQ. Gli smartphone moderni potrebbero non funzionare altrettanto bene (ma se ne potrebbe discutere) senza questo scambio di informazioni. 

Agli operatori serve sapere come usiamo i telefoni per ottimizzare l'infrastruttura, sviluppare firmware ottimizzati e migliorare il servizio in genere? Sì, ma le informazioni sono utili anche per confezionare offerte commerciali convincenti e pubblicità, insomma per venderci qualcosa. Loro sono liberissimi di proporci quello che vogliono naturalmente, ma non di farlo sfruttando informazioni personali senza il nostro consenso informato. A quanto pare per ora non è così.

Aggiornamento: Nokia avrebbe dichiarato al sito SlashGear che sui propri terminali non è installato il software di Carrier IQ.