Lookout釋出可偵測Carrier IQ軟體的工具

行動安全業者Lookout上周釋出Carrier IQ Detector工具以協助使用者偵測手機內是否含有近日聲名大噪的Carrier IQ軟體，只是，該工具只能用來偵測Carrier IQ軟體的存在，並無法移除它。

Lookout說明，有鑑於一般非技術背景的使用者可能不知如何確定手機內是否含有Carrier IQ，因此該公司釋出支援Android平台的Carrier IQ Detector工具；由於Carrier IQ軟體與手機韌體深度結合，因此使用者必須獲得特殊的權限才能移除，但若使用者取得最高權限時，又可能招來其他惡意程式風險，並使手機無法升級韌體，因此該工具只能偵測Carrier IQ的存在，沒有移除的功能。

此外，即使使用者先前曾移除Carrier IQ軟體，但若未清除乾淨，該工具仍會顯示Carrier IQ軟體的存在。

安全研究人員Trevor Eckhart日前指出許多智慧型手機及平板電腦上所預載的Carrier IQ軟體得以紀錄手機資訊、裝置位置、使用狀態，甚至是側錄手機按鍵等，而且是在使用者不知情的狀況下運作，且不容易移除，而將Carrier IQ稱為Rootkit程式。

不過，另一獨立安全研究人員Dan Rosenberg分析了三星Epic 4G Touch手機上的Carrier IQ軟體，找出該軟體運作的方式，發現該軟體並無不當的行為，而且的確可用來改善服務品質。

Rosenberg表示，就算手機製造商或電信營運商想要取得簡訊或網頁內容，但Carrier IQ軟體並無此一功能；Carrier IQ的確可紀錄撥號時的按鍵，但也僅止於此，並無法紀錄其他時候的按鍵輸入；Carrier IQ某些情況能回報GPS位置；能夠紀錄使用者造訪的網址，但無法紀錄相關網頁的內容。

Rosenberg認為，若電信營運商想改善網路覆蓋範圍，就必須知道使用者通話中斷時的所在位置，行動電話製造商也必須了解哪些程式造成太多的電池損耗才能改善電池效能。

Rosenberg指出該為此一事件負責的應該是手機製造商或電信營運商，因為是這些業者決定了所要蒐集的內容與軟體執行暨安裝的作法，而非Carrier IQ。這些業者應該提供使用者拒絕被蒐集資料的選項，也應該有更透明的資料蒐集條款，還必須有一第三方來監督資料的蒐集與使用，業者不應紀錄可能侵犯隱私的訊息，同時，蒐集完整URL與查詢參數的合法性仍值得商榷。（編譯/陳曉莉）