Motorola mit fragwürdigem Datensammler

Einige von euch werden sich bei dieser Überschrift vielleicht an die Sache mit Carrier IQ erinnern, was letztes Jahr in Amerika für einen handfesten Skandal sorgte. Das kleine Tool mit Rootkit-Affinität zeichnete diverse Daten bei HTC-Smartphones und Smartphones anderer Hersteller auf, die an die Mobilfunkprovider gesendet wurden. Nun ereilt ein ähnlicher Zwischenfall Motorola.

Auf mehreren Modellen des Konzerns Motorola wurde ein Systemprozess namens „qe“ entdeckt, der nicht nur den Systemstart der betroffenen Modelle verlangsamt, nein er sammelt auch noch Daten über das eigene Smartphone. Der Prozess kann nicht mit Bordmitteln deaktiviert werden, wie der Entdecker und Firmware-Modder Hashtag bei DroidForums.net schreibt:

I first noticed it in the RAZR and Droid 4 GB ROMs. The process „qe“ is started during the initial boot services. It does a full scan of the /system dir and stores the md5 of every file. It then compares that information to a file in /pds which contains the md5sum file listing of the stock ROM as it was originally from Motorola.
As it diffs the 2 listings, any differences are placed in /data/misc/qer and eventually posted back to Motorola.

There is no way to disable it in the regular phone ROM without using a 2nd init process to change the ramdisk files as the binary „qe“ is in /sbin and the service is started in the init.*.rc files.

Ich bemerkte ihn zuerst in den Razr und Droid 4 Gingerbread ROMs. Der Prozess „qe“ wird durch die der ersten Bootdienste gestartet. Er führt einen kompletten Scann des /system Verzeichnisses durch und generiert für jede Datei eine MD5-Prüfsumme. Diese vergleicht er dann mit einer Datei im /pds Verzeichnis, welches sämtliche MD5-Prüfsummen für Dateien der Stock-ROM beinhaltet, das ursprünglich von Motorola kommt.
Wenn ein Unterschied festgestellt wird, werden die Unterschiede im Verzeichnis /data/misc/qer gespeichert und möglicherweise an Motorola übertragen.

Es gibt keine Möglichkeit diesen Prozess zu deaktivieren ohne einen zweiten init-Prozess, der die Ramdisk Dateien ändert, da die Binärdatei „qe“ im Verzeichnis /sbin liegt und der Dienst durch eine init.*.rc Datei gestartet wird.

„Und was bedeutet das jetzt eigentlich für mich?“ werdet ihr euch jetzt sicher fragen. Nun, solange ihr keine Modifikationen jeglicher Art an eurem Motorola vorgenommen habt, nichts weiter. Im Bereich des Möglichen ist bei Änderungen im /system Verzeichnis eine Verweigerung von Garantieleistungen. Das tritt allerdings nur beim rooten auf bzw. wenn sich Malware eingenistet hat.

Die gesammelten Daten, wenn denn was gesammelt wurde, sind weder verschlüsselt noch sonst wie gesichert vor dem Zugriff Dritter, weshalb die Annahme der Sammlung zu statistischen Zwecken sehr nahe liegt. Damit ließe sich die Verbreitung von Custom Firmwares oder allgemein das rooten von Geräten nachvollziehen und im Zweifelsfall, sofern per IMEI eindeutig zuzuordnen, eine Garantieleistung verweigert werden. Das ist allerdings noch alles pure Spekulation, ebenso ob auch deutsche Smartphones und Tablets betroffen sind.

Die Binary für „qe“ habe ich allerdings auf dem deutschen Motorola Xoom 2 Media Edition entdecken können: Diese liegt im Verzeichnis /xbin, ist 168,64 KB groß und nicht wie von Hashtag angegeben im Verzeichnis /sbin. Ob damit nun auch deutsche Geräte betroffen sind, lässt sich nicht mit Sicherheit sagen, die Möglichkeit besteht jedoch. Warten wir mal ab, wie Motorola auf diese Entdeckung reagieren wird. Wir halten euch auf jedenfall auf dem Laufenden.

[Quelle: DroidForums.net | via AndroidNext.de]