Smartphones : Versteckte Software sammelt Daten in 140 Millionen Handys

Das Programm Carrier IQ steckt in vielen Smartphones in den USA und zeichnet das Nutzerverhalten auf – auch Texteingaben, die eigentlich verschlüsselt werden sollen.
In einer Log-Datei zeigt Trevor Eckhart, dass Carrier IQ auch Eingaben in die HTTPS-Suche von Google im Klartext aufzeichnet. © Screenshot ZEIT ONLINE

Auf der Website des Unternehmens Carrier IQ läuft ein Zähler. Mehr als 141 Millionen zeigt er an, sekündlich steigt die Zahl. Sie beziffert, wie viele Smartphones derzeit im Umlauf sind, die eine Software installiert haben, die wie das Unternehmen Carrier IQ heißt. Aber nur die wenigsten der 141 Millionen Handybesitzer dürften wissen, dass Carrier IQ auf ihren Geräten versteckt ist, und was die Software alles kann.

Der Android-Entwickler Trevor Eckhart beschreibt in einem Video, wie er diese Software auf seinem HTC-Smartphone gefunden hat, und dass sie sich nicht stoppen lässt. Der einzige Weg sie loszuwerden ist ihm zufolge das Betriebssystem auszutauschen. Die Funktionen der Software sind umfassend: Carrier IQ kann Standortinformationen, eingehende Anrufe und SMS ebenso aufzeichnen wie das Aufrufen von Apps. Sie kann Audioaufnahmen starten – und sogar Eingaben auf der physischen und der virtuellen Tastatur des Geräts protokollieren.

Die meisten in den USA verkauften Android-Geräte, Blackberrys und Nokia-Smartphones haben Carrier IQ installiert, schreibt Wired.com . Der Nutzer erfährt davon nichts. Allenfalls bei bestimmten Systemabstürzen fragt das Gerät, ob es eine entsprechende Fehlermeldung an den Hersteller oder den Provider senden darf. Denn dafür, sagt Carrier IQ selbst , wird die Software gebraucht. Sie soll helfen, die Qualität und Stabilität von Netzwerken und Hardware zu verbessern, indem sie Informationen über Abstürze und andere Fehlfunktionen sammelt. Tastatureingaben würden aber nicht aufgezeichnet, so Carrier IQ. HTC und der Mobilfunkanbieter Sprint haben in den USA ähnliche Erklärungen abgegeben.

Das Video von Eckhart scheint aber zu belegen, dass das nicht die ganze Wahrheit ist. Eckhart zeigt darin, wie er auf seinem HTC Evo die Worte Hello World in die HTTPS-Suche von Google eingibt. Im Protokoll, das Carrier IQ anlegt, erscheinen diese Worte im Klartext. Das bedeutet, dass die Software Texteingaben sehr wohl aufzeichnet. Sie ist dabei sogar in der Lage, das HTTPS-Protokoll zu unterlaufen, indem sie jeden Buchstaben schon beim Eintippen speichert. HTTPS verschlüsselt erst beim Absenden des Textes.

Eckhart konnte sich nach eigenen Angaben auch eine Fabrikversion der Software ansehen. In ihr sei vorgesehen, dass Nutzer bei Abstürzen eine Liste zu sehen bekommen, auf der sie ihre technischen Probleme benennen können. Carrier IQ mache sich dabei mit einem Symbol in der Statusleiste bemerkbar. Auf verkauften Geräten aber sei das nicht selbstverständlich – die Software könne modifiziert und komplett verborgen werden. Eckhart bezeichnet Carrier IQ deshalb als Rootkit , also als ein Werkzeug, mit dem sich jemand heimlich Administratorrechte für ein Gerät sichert.

Allerdings hat Eckhart nicht nachgewiesen, dass Daten, wie etwa die Texteingaben, auch an irgendeinen Server gesendet werden. Deshalb kann er vom Unternehmen selbst, von den Geräteproduzenten und den Mobilfunkbetreibern nur einfordern, dass sie die Smartphone-Besitzer besser und transparenter darüber aufklären, dass die Software vorhanden ist, was sie kann und welche Informationen sie tatsächlich sendet.

Ob Carrier IQ auch außerhalb der USA eingesetzt wird, ist unklar. Anfragen bei dem Unternehmen selbst sowie bei HTC vom heutigen Tag wurden noch nicht beantwortet.

Fortgeschrittene Nutzer können versuchen, es selbst herauszufinden. Eckhart hat dazu eine eigene Software entwickelt , die Carrier IQ in Android-Geräten aufspüren soll.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

34 Kommentare Seite 1 von 5 Kommentieren

wenn man ...

.. auf den ganzen Schnickschnack verzichtet und einfach mit dem Handy telefoniert, passiert einem auch nix.
Ich habe mein neues Handy verschenkt und benutze ein schönes 10 Jahre altes Ding mit ordentlichen Tasten und ohne all den Tinnef. Und damit werd ich wohl kaum ausspioniert. Jeder ist selber schuld, dem das passiert - man muss ja nicht jeden Hype mitmachen.

Rückschritt?

Nun ja, nicht jede Weiterentwicklung (oder Kombination von Weiterentwicklungen) ist in der Summe eine Verbesserung/ein Fortschritt. Vielleicht sind auch mehrere Einzeller mit einer zweiten unpassenden Zelle schneller als die altbekannten Einzeller gestorben.

Die neuen Handys verbrauchen viel mehr Energie, haben mehr seltene Rohstoffe eingebaut und beinhalten mehr Sicherheitsrisiken in Hinblick auf eine vertrauliche Kommunikation (je Handy, Software und Betriebssystem verschieden). Demgegenüber steht ein mehr an Funktionen und Nutzungsmöglichkeiten. Da muss halt jeder selbst Abwägen, was für seinen individuellen Bedarf und im Kontext der Gesellschaft und Umwelt, in der er sich befindet, das passende ist.

Es ist halt wie mit vielen anderen kleinen alltäglichen Entscheidungen: Oftmals ist es günstig, diese informiert und bewusst zu treffen. Hier - wie auch in vielen anderen Kontexten - gilt es, die "Tyrannei der kleinen Entscheidungen" zu vermeiden.

Ich persönlich...

...bin sogar noch weiter gegangen. Mit meinem Nachbarn habe ich über den Balkon Dosentelefone gespannt und für Freunden in der Stadt habe ich ein Buschtrommelsystem eingeführt. Das ist vollkommen CO2-Neutral, spart extrem viel Geld und macht total unabhängig - leider sind einige Freunde mittlerweiler Kommunikationsverdrossen, aber die wissen die Vorteile alle nicht zu schätzen. Ich überlege mir sogar schon vom ersparten Geld ein paar Brieftauben zu kaufen, für die ferne Verwandtschaft...

Fazit: Stehenbleiben hilft nicht, der Technik sogar rückwärtsgewandt begegnen erst recht nicht. Und nicht alles, was man selbst nicht braucht, ist generell unnützer Schnickschnack.

Doch, auch mit dem Uralttelefon...

... werden Sie quasi überwachbar. Das hat doch _Zeit Online_ so wunderbar in diesem Artikel hier geschildert. Kein GPS, kein WIFI etc. Und trotzdem gläsern. http://www.zeit.de/digita...
Nochmal: Diese Daten erhebt der Mobilfunkanbieter von jedem seiner eingebuchten Mobiltelefone. Egal ob Smartphone oder 1995er Funker ohne GPS, WIFI, Bluetooth. Und um genau jene Daten geht es bei der Vorratsdatenspeicherung.

Was ist denn daran naiv?

Der physischen Existenz Ihres Kommentars entnehme ich, dass Sie diesen an einem Computer sitzend (oder eben mittels eines Smartphones) verfasst haben. Wenn der Hersteller Ihres Computers eine Fehlerermittlung installiert, die an allen Sicherheitsvorkehrungen vorbei sensible Daten sammelt, ist davon niemand gefeit. Auch Sie nicht, es sei denn Sie verzichten künftig auf das Internet. Wie naiv!

Betriebssystem

es ist schon ein Unterschied ob man an einem Jahrzehnte bekannten Betriebssystem wie WinXP oder Linux sitzt, mit Router und sonstigen Zwischenstationen zur Überprüfung, Millionen von Nutzern mit unzählichen Überprüfungsprogrammen, überhaupt ziemlich freier Programmierung, austauschbaren Komponenten wie Netzwerkkarten, über das so bekannte wie ebenso untersuchte Internet,

oder an einem eher geschlossenen System Handy, welches immer und überall, vielleicht auch nachts von alleine mit wer weiß wem kommuniziert, was direkt an die nächste Mobilfunk-Station vielleicht nicht so leicht zu kontrollieren ist,

von Android-Handys ist zwar mehr zu erwarten als von Apple, aber solchen Nachrichten nach ist da anscheinend auch noch sehr viel unbekannt

Naja...

die Geschichte der Sicherheitslücken in XP und anderen Windows-Betriebssystemen, wie zum Teil auch in Linux spricht da eine andere Sprache. Und auch Android wird seit nunmehr drei Jahren von Millionen von Menschen eingesetzt. Im übrigen gibt es Virenscanner und Firewalls auch für Androiden, die dafür aber häufig gerootet werden müssen. Man muss bisher also leider auf die Herstellergarantie verzichten, um das System "zu öffnen" und die weitgehende Kontrolle über seinen kleinen mobilen telefonfähigen Computer zu erlangen, und das ist wohl das eigentliche Problem.

Bleibt nur zu hoffen, dass die Kontrollmöglichkeiten in Android möglichst bald verbessert werden.