Individuare Carrier IQ, il software che spia i nostri smartphone

La diffusione degli smartphone non conosce ormai limiti e vari milioni di persone nel mondo si affidano ad essi per svolgere attività di carattere personale o lavorative. L'uso massivo di tali apparecchi va ben oltre la semplice fonia, in quanto offrono la possibilità di accedere ad un ampio insieme di servizi di natura diversa attraverso connettività dati veloce ed efficiente. La riservatezza e la sicurezza delle informazioni assumono pertanto un aspetto essenziale in termini di comunicazione, tenuto conto di una base di dati di proporzioni gigantesche la quale potrebbe essere utilizzata in modo illegittimo e soprattutto senza chiedere il consenso preventivo degli utenti. Di recente è venuta alla luce una vicenda concernente la violazione della privacy che per certi versi ha assunto risvolti inquietanti. Lo sviluppatore Trevor Eckhart ha infatti rilevato nel proprio smartphone Android HTC EVO un componente software in grado di intercettare informazioni e dati presenti al sui interno e memorizzarli in file log. Si tratta in particolare di un programma chiamato "Carrier IQ", come il nome dell'azienda produttrice specializzata nell'erogazione di servizi e soluzioni per il settore mobile, occupandosi in particolare di rilevazioni statistiche.

Questo software si trova preinstallato nel sistema per tracciare i comandi impartiti dall'utente e "sniffare" i dati, comportandosi pertanto come una sorta di incrocio tra rootkit, keylogger e spyware. Tale componente è inoltre capace di operare in modalità aereo e via Wi-Fi, anche in presenza di connessioni sicure SSL, riuscendo oltretutto a geolocalizzare la posizione del terminale. La questione non coinvolge solo HTC, ma anche altre marche di rilievo in ambito Android e la stessa Apple per quanto concerne iOS, mentre Nokia e RIM hanno dichiarato di non aver mai installato tale applicativo nei propri device né di aver autorizzato i gestori a farlo.

Le implicazioni sono ovviamente facilmente immaginabili, in quanto un software di questo tipo preinstallato su milioni di smartphone può potenzialmente riuscire a stilare un vero e proprio profilo per ciascun utente, ad esempio attraverso le telefonate, lo scambio di SMS o messaggi di posta elettronica e la consultazione di pagine web, oltre naturalmente ai luoghi frequentati durante una giornata. I responsabili di Carrier IQ, attraverso la persona del vice presidente Andrew Coward, hanno cercato di minimizzare l'accaduto, negando che il file di log mostrato da Eckart sia della stessa società e raccontando che i dati in loro possesso, conservati mediamente 30 giorni, vengono consegnati alle compagnie telefoniche ufficialmente per l' individuazione di malfunzionamenti nelle reti telefoniche.

Tra essi sono annoverabili ad esempio le caduta improvvisa delle chiamate (dropped-call), le quali possono essere causate da problemi di qualità radio, livello del segnale, trasmissione, commutazione e servizi o applicazioni installati nel sistema. Il fenomeno sembra sia diffuso soprattutto negli Stati Uniti, mentre per quanto riguarda il Vecchio Continente vari operatori si sono affrettati a negare qualsiasi tipo di implicazione. Carrier IQ, società fondata nel 2005, svolge la propria attività in particolare per conto di T-Mobile, AT&T e Sprint e il suo software è stato installato in più di 140 milioni di telefoni. Attualmente il modulo è installabile secondo due diverse modalità: la prima prevede l'integrazione con il sistema operativo in accordo con i produttori, mentre la seconda consente l'installazione diretta da parte dei gestori, i quali hanno anche la possibilità di variarne la configurazione.

La compagnia non opera in Europa, anche se lo stesso Coward ritiene che strumenti di analisi software sostanzialmente simili possano essere utilizzati da diversi gestori telefonici. I dati raccolti sono pari a circa 200 Kb al giorno per device e sono trasmessi in modo sicuro a server remoti gestiti da terze parti o direttamente dagli operatori, in base ad accordi stipulati con i singoli clienti. Tra i dati inviati vi è anche l' IMEI, il quale consente ai gestori di effettuare ad esempio analisi tecniche sul comportamento delle batterie dei device nel caso vengano segnalate anomalie sulla loro autonomia. Non verrebbero invece trasmesse informazioni di tipo personale inerenti pagine web, documenti, video e foto. E secondo i risultati prodotti da una altro ricercatore, Dan Rosenberg , il software sviluppato da Carrier IQ non sarebbe inoltre in grado di tenere nota di SMS, email e contenuti di pagine web, la cui conferma smentirebbe in parte la scoperta di Eckhart e conferirebbe un tono meno allarmistico alla seppur inquietante vicenda.

Non potevano mancare gli interventi da parte di due dei principali attori del settore smartphone: Apple e Google. La casa di Cupertino, dopo aver ammesso di essere ricorsa a Carrier IQ per soli scopi diagnostici, ha comunicato di volerne eliminare definitivamente la presenza in un prossimo aggiornamento di iOS, già peraltro non più supportato dalla versione 5. La grande G, dal canto suo, ha sin da subito preso le distanze dalla vicenda, asserendo di non aver mai intrapreso rapporti con Carrier IQ. Anche la stessa Microsoft ha sottolineato la sua estraneità per quanto concerne i terminali operanti con Windows Phone. Al di là della piega che prenderà la vicenda nelle prossime settimane, al momento gliutenti Android hanno la possibilità di verificare l'eventuale presenza di Carrier IQ installando una delle numerose app gratuite che sono proliferate negli ultimi giorni nel market dedicato. Abbiamo eseguito alcune prove con tre smartphone di distribuzione europea: HTC incredible S, Motorola Milestone 2 e LG Optimus 3D. I software utilizzati sono stati CarrierIQ Spy, Voodoo Carrier IQ Detector, AntiCarrier IQ, Carrier IQ Detector, Carrier IQ Finder, CIQ Process Killer e Carrier IQ Cleaner. Mentre con i primi due device il riscontro è stato sempre negativo, in LG Optimus 3D il risultato è stato alterno. Carrier IQ è stato infatti rilevato da CarrierIQ Spy e da Voodoo Carrier IQ Detector (anche se ritenuto apparentemente inattivo), mentre le altre app non hanno segnalato la sua presenza.

Vi è anche un'app messa a punto dallo stesso Eckhart installabile solo se si hanno i permessi di root ed esterna al market, la quale è l'unica teoricamente capace di eliminare la presenza di Carrier IQ, mentre le altre consentono solo di congelarlo. Per inciso, anche tale strumento non ha rilevato la presenza di Carrier IQ sul terminale LG Optimus 3D. Chi ha un device basato su iOS5, come iPhone e iPad, pare invece possa al momento solo evitare l'invio di eventuali dati indesiderati disabilitando la voce "Diagnosi e uso" attraverso il percorso "Impostazioni" à "Generale" à "Info".