Carrier IQ schiebt Fehler auf Hersteller und Provider

In einer Presseerklärung hat Carrier IQ rund zwei Wochen nach dem Bekanntwerden des Problems erstmals im Detail erläutert, welche Daten auf Smartphones gesammelt und übermittelt werden, auf denen die umstrittene, gleichnamige Software installiert ist.

Dazu gehören unter anderem die Qualität des gerade verwendeten Netzes, Anrufversuche mitsamt eine Übersicht, ob diese erfolgreich oder nicht waren, die Dauer bis zum Aufbau eines Gesprächs, die Gründe für abgebrochene Telefonate und die verwendeten Datenübertragungsprotokolle. Aber auch Informationen bezüglich der Ladezyklen des Akkus, die im Hintergrund laufenden Applikationen, Eingaben auf dem Touchscreen und die Prozessorauslastung (nur bei Android-Geräten) werden erfasst.

Insgesamt können derzeit 238 verschiedene Werte erfasst werden. Allerdings werden nicht auf allen Geräten alle möglichen Daten gesammelt. Nach eigenen Angaben erstelle man für jeden Provider, der die Software einsetzen möchte, spezielle Profile anhand der jeweiligen Vorgaben. Generell gäbe es drei verschiedene Varianten:

• Preload: Hier installieren die Gerätehersteller die Software auf Wunsch der Netzbetreiber. Eine Integration in das Betriebssystem ist nicht notwendig, es besteht allerdings nur auf die Daten Zugriff, die über die üblichen APIs erreichbar sind. Generell kann diese Version nicht vom Nutzer entfernt werden. Für das Erfassen und Übermitteln ist allerdings das Vorhandensein eines Profils notwendig.
• After-market downloadable: Hierbei handelt es sich um eine Version des Programms, die vom Nutzer selbst aufgespielt werden kann. Dies geschehe in fast allen Fällen erst auf Anleitung des Netzbetreibers hin, um Fehler identifizieren zu können. In allen anderen Punkten entspricht die Arbeitsweise der Preload-Variante, mit dem Unterschied, dass der Nutzer das Programm problemlos wieder entfernen kann.
• Embedded: Bei diesem Modell wird die Software vom Gerätehersteller nach den Vorgaben des Netzbetreibers in das Betriebssystem integriert. Dadurch können weit mehr Daten gesammelt und übertragen werden. Die dafür notwendige Anleitung erstellt Carrier IQ im Auftrag des Netzbetreibers und stellt diese dann dem Hersteller zur Verfügung. Auch hier ist allerdings ein Profil notwendig, um die Software in einen funktionstüchtigen Zustand zu versetzen.

In den benötigten Profilen ist neben den genauen Daten, der erfasst werden sollen, auch enthalten, in welchen Abständen die Übertragung dieser stattfinden soll, ob die IMEI gesichert und hinzugefügt wird und ob die Daten vorverarbeitet werden sollen. Die Profile sind bei Bedarf austauschbar.

Aber nicht nur auf die genaue Funktionsweise ging Carrier IQ ein. Man bezog auch Stellung zu einigen Vorwürfen. So sollen beispielsweise die von Trevor Eckhart dokumentierten Datenzugriffe nicht durch „Carrier IQ“ selbst verursacht worden sein, sondern durch eine nicht deaktivierte Debug-Routine. Die auf dem zur von Eckhart durchgeführten Demonstration HTC-Smartphone installierte Embedded-Version der Software greife nicht auf die Android-Logs zu, da durch die tiefe Implementierung die Daten direkt erfasst werden können. Man arbeite allerdings bereits zusammen mit den Herstellern daran, solche Fehler künftig ausschließen zu können.

Auch eigene Fehler räumt man ein respektive korrigiert frühere Aussagen. So soll es durch einen Fehler in „Carrier IQ“ doch zur Aufzeichnung von SMS-Inhalten gekommen sein. Schuld daran sei ein Bug in der Erfassung der sogenannten Layer-3-Datenerfassung. Diese ist bei Telefonaten oder Datenverbindungen aktiv, durch den Fehler seien gleichzeitig eingehende Kurznachrichten aufgezeichnet und übermittelt worden. Allerdings seien diese wie auch die restlichen Daten verschlüsselt und „nicht von Menschen lesbar“.

Das Unternehmen betont nach wie vor, dass es selbst keinen Zugriff auf die Daten habe. Diese werden einzig und allein im Auftrag der Netzbetreiber erfasst und an diese übermittelt. Noch immer ist aber nicht genau bekannt, auf welchen Geräten die Software installiert ist, beziehungsweise welche Netzbetreiber auf diese zu Analysezwecken zurückgreifen. Carrier IQ selbst spricht von mehr als 140 Millionen Handys, auf denen das Programm genutzt wird.

Wir danken unserem Leser „mcclean“ für den Hinweis!