Carrier IQ is een programma dat standaard meegeleverd wordt op Android-, BlackBerry- en Nokia-toestellen en is ontdekt door Android-developer Trevor Eckhart. De dienst wordt geïnstalleerd door toestelfabrikanten die willen weten op welke manier hun telefoons worden gebruikt. Ook de mobiele operators zijn zeer geïnteresseerd in deze informatie.

Sms vóór de inbox

Eckhart heeft het bestaan van Carrier IQ vorige week ontdekt en er afgelopen maandag een uitgebreide video over gepubliceerd. Daarin doet hij uit de doeken wat er precies gemonitord wordt door de stilletjes geïnstalleerde dienst. Het gaat om alle toetsaanslagen, maar ook om inkomende sms'jes. Die tekstberichten worden opgeslagen voordat ze in de inbox van de gebruiker belanden.

Zelfs versleuteld dataverkeer, zoals zoekopdrachten via https, worden gelogd. Dat laatste gebeurt op zo'n manier dat Carrier IQ wel degelijk kan zien waar naar wordt gezocht terwijl de gebruiker denkt dat hij gebruik maakt van een versleutelde ssl (https) verbinding. Hierbij onderschept de keylogger niet alleen 3G-verkeer, maar tapt het ook WiFi-verbindingen af.

Alles loggen en doorsturen

Verder logt de software de locatie van de telefoon als een website om locatiegegevens vraagt. Dat gebeurt ook als dat verzoek om locatiegegevens wordt afgewezen. Al deze data wordt, zonder dat de gebruiker het weet, verstuurd naar de servers van Carrier IQ.

Vanaf minuut 8.42 demonstreert Eckhart op welke manier Carrier IQ data logt.

Dreigen met rechtszaak

Carrier IQ is zelf niet te spreken over de publiciteit die Eckhart veroorzaakt met zijn ontdekking. Het bedrijf heeft gedreigd hem aan te klagen en een enorme schadeclaim te eisen. Na inmenging van de Electronic Frontier Foundation (EFF) zag Carrier IQ af (pdf) van een gang naar de rechter en trok zijn juridische dreigementen in.

In een persbericht reageert (pdf) Carrier IQ op de aantijgingen. "Carrier IQ levert Mobile Intelligence over de prestaties van mobiele apparaten en netwerken om operators en fabrikanten te assisteren bij het leveren van producten van hoge kwaliteit aan hun klanten", benadrukt het bedrijf. "We doen dit door het tellen en meten van operationele informatie op mobiele apparaten: feature phones, smartphones en tablets."

Kritieke informatie

Volgens Carrier IQ is dit "kritieke informatie" voor telefoonfabrikanten en telecomoperators om de kwaliteit van het netwerk en de telefoons te verbeteren. Hetzelfde argument dat de Nederlandse telco's gebruiken ter verdediging van het gebruik van Deep Packet Inspection (dpi), het tot in detail monitoren van het netwerkverkeer.

Opmerkelijk is dat Carrier IQ in het persbericht claimt geen keylogger te zijn. Terwijl uit de test van Eckhart duidelijk blijkt dat dit wel het geval is. Het bedrijf stelt ook dat de verzamelde data alleen aan hun klanten wordt doorgegeven en niet wordt verkocht aan derden. Hackers ontkrachten die beweringen.

Onmogelijk uit te zetten

Het blijkt onmogelijk om de geheime afluisterdienst uit te zetten via een normale, voor de consument te begrijpen manier. Android-bezitters kunnen de applicatie verwijderen door hun telefoon te rooten. Het is onduidelijk welke Android-fabrikanten een deal hebben met Carrier IQ.

Het gaat in ieder geval om HTC, valt te zien in de video van Eckhart. In een persbericht uit september 2010 blijkt (pdf) dat Carrier IQ deals heeft gesloten met "veel van de grote spelers in het Android-ecosysteem", zonder dit verder te specificeren. In april dit jaar hebben developers van alternatieve Android-rom's al Samsung-toestellen met Carrier IQ gespot.

2 nieuwe telefoons per seconde

Ook operators zijn enthousiast over de software. Vodafone Portugal heeft de monitordienst in juli 2009 al tot volle tevredenheid getest en vervolgens ingehuurd. Op moment van schrijven blijkt, afgaand op de teller op de site, dat Carrier IQ is geïnstalleerd op bijna 141,3 miljoen telefoons. Per seconde komen er twee bij.

Update 14.09 uur: Ondanks dat Eckhart stelt dat Carrier IQ op bepaalde Nokia-toestellen is geïnstalleerd, ontkent Jurgen Thysmans, hoofd communicatie Nokia Benelux dit met klem. Hij heeft het nagevraagd bij de vice-president verantwoordelijk voor privacy. "Die heeft officieel bevestigd dat Nokia geen Carrier IQ installeert op telefoons", aldus Thysmans. "Nokia doet dat gewoon helemaal niet. En heeft dat in het verleden ook niet gedaan."

Carrier IQ geeft in deze illustratie zelf aan hoe het de data oogst, verwerkt en deelt met zijn klanten.