30. November 2011

Merkwürdig ist es schon, was der Andoid-Entwickler Trevor Eckhardt entdeckt und in einem YouTube-Video sowie in einem Bericht dokumentiert hat. Will man den Ausführungen Eckharts Glauben schenken, dann zeichnet eine auf über 140 Millionen Mobilfunktelefonen installierte Software des Herstellers Carrier IQ alle nur denkbaren Informationen auf. Und das sogar, wenn die Daten wie bei HTTPS verschlüsselt zu einem Server übertragen werden sollen.

Nach Darstellung von Eckhart verhält sich die CIQ-Software damit so, wie man es von einem für den Anwender versteckten Rootkit erwarten sollte, der als Keystroke-Logger jede Dateneingabe erfasst. Genau das bestreitet Carrier IQ aber vehement und wollte Eckhart sogar zunächst mit gerichtlichen Schritten drohen. Doch diese Drohung wurde schnell wieder zurückgezogen, nachdem sich die Bürgerrechtsbewegung gegenüber dem Unternehmen für Eckharts Rechte stark machte.

Carrier IQ erklärte sich nach dem Rückzug der Drohungen zu Gesprächen auch mit den Bürgerrechtlern bereit. Doch seither herrscht Funkstille. Eckharts Fragen bleiben unbeantwortet und Carrier IQ bleibt bei der Darstellung, dass ein Keystroke Logging oder andere Form der Überwachung nicht stattfindet. Die CIQ-Software sammelt zwar Informationen, aber man sieht das als bloßes Zählen und summarisches Zusammenfassen der Performance an. Übertragen und bearbeitet würden die Daten nur in geschlossenen und sicheren Systemen. Das gelte auch für die Auftraggeber, denen man die gesammelten Informationen an die Hand gibt, damit sie die Qualität ihrer Dienste und Produkte verbessern können.

Diese Kunden, zu denen große Hersteller wie HTC, Samsung und Research in Motion gehören, lassen eigentlich an der Rootkit-Theorie Zweifel aufkommen. Warum sollten diese Unternehmen die Software verwenden und mit der heimlichen Sammlung von persönlichsten Informationen Informationen ein Datenschutz-Debakel riskieren?

Allerdings ist das alleine ein schwaches Argument, wenn man es mit Eckharts Darstellung vergleicht. Der kann unter anderem auf Schulungsmaterialien verweisen, die die Anwendung von Analysen der CIQ-Daten auch auf individueller Ebene möglich erscheinen lassen. Sollte es also möglich sein, dass hier wirklich eine gigantisches Hintertür-System vorgesehen wurde? Ein System, das entweder aggregierte Daten erfasst, oder der individuellen Überwachung dient? Oder verhält es sich so, dass hier einfach nur leichtfertig ein System aufgebaut wurde, das dem Missbrauch dienen kann, aber nicht eigens dafür entwickelt wurde? Diese Fragen wird das IC Carrier allmählich beantworten müssen. Oder auch seine Kunden, denn totschweigen lassen sich Eckharts Beobachtungen nicht mehr, ohne Schaden bei den Beteiligten zu verursachen.