14. Dezember 2011

Die Bürgerechtsbewegung EFF, die auch die rechtliche Vertretung des Android-Entwicklers Trevor Eckhart übernommen hat, versucht etwas mehr Klarheit in den Streit um den "Trojaner" Carrier IQ zu bringen. Der Streit ist vor allem um die Frage entbrannt, ob Eckharts Beobachtungen eines Keystroke Logging zuverlässig sind, ob wirklich jeder Tastenanschlag aufgezeichnet und an unbekannt übertragen wird.

Bei einigen Wiederholungen der Tests wurden demnach Eckharts Angaben bestätigt, bei anderen wiederum nicht. Diese Frage um die Funktionen der Carrier IQ-Software ist allerdings zentral, denn wegen ihr hatte der gleichnamige Software-Hersteller im ersten Eifer den Entwickler abgemahnt und mit Klage bedroht. Das PR-technisch ungeschickte Vorgehen hat man zwar inzwischen öffentlich bedauert. Doch mit der Klagedrohung wurde die Aufmerksamkeit erst recht auf den Fall gerichtet.

Und die Diskussion findet mittlerweile zwischen ganz klar polarisierten Lagern statt: Die Einen sehen in Carrier IQ einen heimlichen Spion, die Anderen halten diese Behauptungen für völlig daneben.

EFF versucht sich nun der Sache auf technischer Ebene zu nähern, denn die Probleme beginnen schon mit der Nutzung des Begriffs "Carrier IQ" für sehr unterschiedliche Dinge. Mit dem Firmennamen Carrier IQ wird nämlich nicht nur die Software-Bibliothek bezeichnet, die auf über 150 Millionen mobilen Geräten zu finden ist, sondern auch die Anwendungen, die auf diesen Geräten installiert wurden. Die aber besteht nicht nur aus der zuvor genannten "Core Software Library", sondern enthält zusätzlichen "Porting Code" der Gerätehersteller (OEM), der Telekomunternehmen sowie der Hersteller der Mobilfunkmodule (Baseband Chips) dieser Geräte.

Damit nicht genug, wird auch der gesamte Carrier IQ Stack, also die Kern-Software, der Porting Code sowie die Anpassungen an das jeweilige Betriebssystem des Geräts und des Mobilfunkmoduls als Carrier IQ bezeichnet. Außerdem steuert der Hersteller auf Wunsch und nach Vorgabe der Telekomunternehmen sowie anderer Kunden eine speziell Konfigurations-Datei ("Profile") bei, was ebenfalls zu individuell unterschiedlichen Ergebnissen führen kann. .

Diese Profil-Dateien steuern letztendlich, welche Daten von dem Gerät zum Carrier "oder einem anderen Carrier IQ Kunden" verschickt werden. Eckharts Beobachtungen - die in anderen Tests wie gesagt nicht einheitlich reproduziert werden konnten - sind nach Darstellung von EFF vermutlich "irrtümlich" an Dritte verschickt worden oder versehentlich anderen Anwendungen auf dem Gerät übergeben worden, was zum gleichen Ergebnis führen kann. Eine absichtliche Übertragung der Daten wird damit zunächst einmal ausgeschlossen.

Zugleich aber fordert EFF dazu auf, alle bisher von Carrier IQ erstellten Profile zu untersuchen, um damit zu kontrollieren, was die Telekomunternehmen als Auftraggeber von Carrier IQ tatsächlich beabsichigten. Welche Datenerhebung und -übertragung haben sie bei Carrier IQ in Auftrag gegeben?

Ein Ansatz, mit dem staatliche Regulatoren in die Lage versetzt werden sollen, möglichen Missbrauch bei dieser Form der Datensammlung zu erkennen und gegebenfalls zu verhindern, meinen die Bürgerrechler.

Ein ganz klein wenig klingt das aber auch nach einem Rückzugsgefecht von Eckharts Verteidigern. Denn die Kernaussage des EFF lautet, dass nach derzeitigem Wissensstand auch des Entdeckers dieser Sicherheitslücke eher von einer versehentlichen Sammlung und Übertragung der Daten auszugehen ist. Wenn dies in der Praxis überhaupt je geschehen ist.