Buraya tıklayarak ulaşabileceğiniz bir önceki bölümde, durumu daha iyi kavramak için bir başka güvenlik araştırmacısı olan Dan Rosenberg’in CarrierIQ yazılımı için Samsung Epic 4G Touch telefonu ile yaptığı analize göz atıyoruz demiştik.
Bu analizde, hangi durumlarda, hangi ölçütlerin toplanabileceğini ve Android çerçevesinde CarrierIQ entegrasyonu listeleniyor. Bu liste, ana banda giden, ilave radyo veya telefon bilgisinin de dahil olduğu ölçütleri içermiyor. Tablo şu şekilde.
Ölçüt Kimliği | Ölçüt | Gönderilen Veri | Durum |
AL34, AL35, AL36 | Durumu belirleyen tarayıcı sayfası | Dahili sayfa kimliği, (sayfa içeriği veya URL’ye ilişkin veri yok) | Sayfa durumu |
LC18, LC30 | Konum etkinliği | GPS ve GPS olmayan konum verisi | Konum değişiklikleri, telefonla ilgili durumlar |
NT0F, NT10 | HTTP etkinliği | Talep tipi, yerel port, statü kodu, URL, (sayfa içeriği yok) | Gönderilen HTTP talebi veya alınan yanıt |
NT07 | Network etkinliği | Dahili tanımlayıcı | Network durumundaki değişiklikler |
DO3M, GS18, GS19, GS46, GS47, GS6E, RF02, RF04, RF05, RF1A, RF55 | Telefonculuk/radyo etkinlikleri | Çeşitli radyo ve telefonculuk verileri | Düşen çağrılar, hizmet aksaklıkları, radyo etkiniliği vs.. |
HW03, HW10, HW11 | Donanım etkinliği | Batarya seviyesi, voltaj, ısı vs.. | Donanım durumundaki değişiklikler |
UI01 | Tuşlama etkinliği | Anahtar kod | Sadece çağrı yapılırken basılan tuşlar |
UI08, UI09 | Çeşitli GUI etkinlikleri | Network tipi, batarya durumu | GUI durumundaki değişikliklikler |
GS01, GS02, GS03, LO03 | Arama etkinliği | Arayan ID’si, durum ve telefon numarası | Başlatılan, alınan veya başarısız olan çağrılar |
UI13, UI15, UI19 | Uygulama etkinliği | Uygulama adı | Yeni uygulama, durdurulan uygulamalar, odak noktasına çekilen veya odaktan çıkan uygulamalar |
QU04, QU05 | Sorgu etkinliği | Sorgu verileri | Tamamlanan sorgular |
MG01, MG02 | SMS etkinliği | Mesaj uzunluğu, telefon numarası, statü, mesaj içeriği yok | Gönderilen veya alınan SMS |
Gözden çıkarılmaması gereken bir diğer nokta, bu ölçütlerin Samsung için yazılmış CarrierIQ kodlamasına göre yapılmış olduğudur. Mevcut ölçütlerin listesi taşıyıcı odaklıdır ancak herhangi bir telefonda da geçerli olacaktır. Bu verinin alt kümesi, taşıyıcının takdirine göre kaydedilir ve toplanır ve cihaza yüklenmiş olan profili baz almaktadır.
Rosenberg’in ortaya koyduğu bulgular, CarrierIQ’nun veri toplama amacının networkleri, aplikasyonları ve donanımları tamir etmek ve iyileştirmek olduğu iddiasını destekler nitelikte. Sonuçta yukarıdaki tabloda görülen tüm ölçütlerin cep telefonu networkünde kullanıcı deneyimine yarar sağlama potansiyeli var. Eğer taşıyıcılar kapsama alanını genişletmek istiyorlarsa, çağrıların ne zaman ve nereye geldiğini bilmeleri gerekir. Öte yandan eğer telefon üreticileri şarj ömrümü arttırmak istiyorlarsa, hangi aplikasyonun en çok şarj tükettiğini bilmeleri esastır.
Tüketiciler, bu veri toplama işleminin bazen hizmet sözleşmesini aştığıyla ilgili düşüncelere kapılabilir ancak, Rosenberg’in yaptığı test bu toplama işleminin arkasındaki niyetin kullanıcıya yardım etmek amaçlı olduğunu ortaya koymakta. Rosenberg’e göre CarrerIQ hücresel ağlarda kullanıcı deneyimini iyileştirmeye yönelik olarak tasarlanmış potansiyel değeri olan bir hizmet olarak gözükmekte.
Bununla birlikte, Rosenberg’in gerçekleştirdiği testte art niyetli yaklaşımlar görmüyor oluşu, bulgularına dayanarak vardığı sonucun tamamen doğru olacağı anlamına gelmemekte. Bu noktada tüketicilere istedikleri takdirde herhangi bir veri toplama işleminden çekilme (opt-out) hakları sağlanmalıdır. Ayrıca suiistimali engellemek adına üçüncü bir otorite veri toplama işine tanıklık etmeli veya veri toplayan firmalar düzenleyici kurumlara raporlama yapmalıdır.