Carrier IQ是一家软件公司,其软件面对的是无线设备公司。该软件可以从已安装的近1.41亿部手机中收集数据,实时报告网络的运行情况。
听起来没什么意思,是吧?但在过去的两周里,Carrier IQ已成为一场巨大争议的中心。据披露,该软件可以捕获(所以也可能传播)用户的键盘输入记录,本地信息,以及你使用手机所进行的其他一切活动。大多数用户既不知道这些行为的存在,也无法卸载。
CIQ公司的网站称,这一软件可以协助网络运营商提供更优质的服务,同时可延长电池的续航能力。
“我们的软件帮助网络运营商来查找问题出现的原因,比如为什么电话会掉线,如何延长电池续航时间…Carrier IQ的移动服务智能平台(MSIP)从手机中接收原始数据(即指标数据),再将其转换成可靠的、可复验的标准数据,供分析软件分析。”
11月16日,一名25岁的安全研发人员特雷沃·艾克哈特(Trevor Eckhart),在关注Carrier IQ公司的培训指南和一些文件后,发表了他的第一份声明。声明中称,所谓“指标数据”实际上包括所有的个人数据。
“指标数据的涵盖范围是非常广泛的…包括设备类型,制造商和产品型号,可用内存及电池续航时间,该设备上安装的应用类型,该设备的地理位置,设备终端用户的点击记录,以及该设备的使用历史,包括用户使用该设备进行交流的特点…当用户浏览网页时,HTTP头信息可以和页面的详细信息一同被获取,Carrier IQ可以记下用户在网页上的点击记录。当设备的地理位置发生变化时,手机会报告给软件,当发生通话时,任何指标数据都可被查询。还有很多,上述这些只是在文档中公开的内容。”
Carrier IQ公司随后寄给他一封“封口信”,但不久,“电子前线基金会”加入战团,站在了艾克哈特一边,公司改变了态度。艾克哈特在周一发布的一段视频让事情彻底闹大了。这段实时视频显示,该软件捕获了他所发的文字短信“Hello world!”以及他在谷歌搜索时使用的关键词和他的地理位置信息(尽管他关掉了GPS功能),还有所访问网页的完整URL地址。
信息周刊(Information Week)专栏作家乔纳森·费尔德曼(Jonathan Feldman)发表了一篇更有文采的文章。文中说:
“这事绝对不是杜撰。在半年之前,如果我让你对将具体数据委托给那些在手机中预装垃圾软件的移动运营商多加小心,因为他们向手机内植入间谍程序,收集安全网页浏览信息,这种软件嵌入系统很深,必须要刷机才能卸掉----如果我在半年之前对你提出这些建议,你一定认为我是个偏执狂。但现在看来,Carrier IQ这款失控的软件正是如此。就像80年代经典科幻剧中的那个‘控制大师程序’一样,Carrier IQ从表面上看来是在以无害的目的来收集数据,比如帮助运营商改善其网络质量,提升用户的使用体验。然后,它就失控了,疯狂地想杀死每个人…从企业的角度看,这可是大事。”
12月1日,Carrier IQ发表了一份措辞激烈的声明,表示公司并没有“记录、保存或传播”用户的个人信息,尽管艾克哈特的视频中,事实已经再明显不过。Carrier IQ还引用了一家第三方研究机构的话来为自己辩护,声明中说:
“尽管有一些人注意到,安装在便携设备中的Carrier IQ可以访问大量信息,如文字短信、电子邮件、照片、音频和视频,但我们的软件并未记录、保存或传播这些信息的内容。举例来说,我们会了解到短信是否准确地发出,但不会记录或传播短信的内容。我们知道哪一款应用最费电,但不会去截屏。一家中立机构中一位广受尊敬的安全专家丽贝卡·贝丝(Rebecca Bace)表示,‘在仔细考察了Carrier IQ软件的执行过程后,我认为,关于该软件对移动设备用户的击键记录的收集和其他用户信息内容的监视的说法是错误的。’隐私权并未被侵犯。”
而同样是在12月1日,美国明尼苏达州民主党参议员阿尔·弗兰肯(Al Franken)给Carrier IQ公司去信,要求该公司披露信息,包括是否曾与执法部门进行过数据共享。信中说:
“显然,Carrier IQ公司的软件在大肆收集极为敏感的用户个人信息,这些信息显然与故障诊断无关,包括用户的通话记录,收到的信息内容,搜索的内容和网页访问记录。这些行为可能触犯了联邦隐私权法律,包括电子通信隐私法案(CEPA)和计算机欺诈和滥用法案(CFAA)。这是一个非常严重的潜在问题。”
无线运营商和硬件制造商也纷纷发表了陈述声明,比如,疾跑(Sprint)公司表示:
“我们是在使用CIQ软件,但和一些人的怀疑不同,我们既不会,也不能查看信息的具体内容。Carrier IQ所提供的信息,是用来帮助我们及其他使用该软件的用户来分析网络性能,确定我们应在哪些方面改进服务。我们也用这些数据来获取移动设备的性能,以确保状况出现时,我们可以及时排查。我们收集足够的信息来了解用户的使用体验,解决一系列的连接问题。但是我们不会,也不能使用这一工具查看那些信息、照片和视频的具体内容。所收集的信息不会用来出售,我们也不会将信息直接提供给疾跑公司以外的任何人。”
Verizon表示:Carrier IQ未安装在旗下任何一部手机之中。AT&T表示:“我们只是用Carrier IQ的数据来改善无线网络和服务质量。”这和T-Mobile的说法如出一辙。
苹果表示:
“我们将在iOS5系统的大部分产品中停止支持Carrier IQ软件,在未来的软件更新中会将其完全删除。对于用来诊断的数据收集,必须经用户主动选择,同意数据共享方可进行。用户同意后,数据将以匿名和加密的形式发送,不含任何个人信息。我们从未记录过用户击键记录、短信和其他任何个人信息用来诊断故障,并且今后也无意这样做。”
艾克哈特的那段视频是用HTC安卓手机演示的,HTC表示:
“美国的大部分运营商都要求安装Carrier IQ软件,所以如果用户和媒体关于Carrier IQ软件或该软件所收集的数据有任何疑问,我们建议与相关运营商联系。需要着重指出的是,HTC并非Carrier IQ的客户或合作方,也未从Carrier IQ公司或与其合作的运营商处接收这一软件收集到的任何信息。HTC正在考虑是否在用户主动同意的情况下允许Carrier IQ收集数据。”
诺基亚表示,旗下手机从未安装过Carrier IQ软件。
三星表示:
“一些三星手机中确实装有Carrier IQ软件,但需要着重指出的是,是运营商决定在配货和销售之前是否在手机中安装该软件。另外,三星未从安装Carrier IQ的手机中收到消费者的用户信息。”
RIM表示:
“RIM未在黑莓智能手机中预装Carrier IQ应用,也没有授权其运营商合作方在手机配货和销售之前安装Carrier IQ软件。RIM没有开发或委托开发Carrier IQ应用,也并未参与该应用的测试、升级和分发。RIM将会继续调查关于Carrier IQ的一系列报告和种种猜测。”