A capacidade que o software da CarrierIQ tem de coletar, armazenar e enviar remotamente as ações de um usuário no smartphone têm preocupado muita gente. E isso inclui pesquisadores em segurança, que analisaram o software e tentam agora amenizar a situação. Descoberto na semana passada, o aplicativo vem instalado nos aparelhos vendidos junto a operadoras e já rendeu processos a várias empresas, entre a própria CarrierIQ, a Apple, a Samsung e a HTC.

De acordo com o blog ThreatPost da Kaspersky, os estudiosos dizem que, embora o aplicativo tenha capacidades poderosas e preocupantes, a forma como ele é aplicado pelas operadoras não permite a captura de torpedos SMS, chamadas telefônicas e toques em cada tela, ao contrário do que foi alegado pelo desenvolvedor que descobriu a ameaça.

No entanto, os especialistas não descartam a possibilidade de uso dos dados para fins maliciosos, seja pelas próprias operadoras ou por qualquer pessoa que consiga acessar os dados graças a um celular comprometido. A CarrierIQ garante que o software é apenas uma ferramenta de diagnóstico instalada no momento em que as operadoras colocam nos aparelhos suas customizações específicas.

Enquanto o desenvolvedor que descobriu o software afirma que ele captura teclas pressionadas, textos digitados e até termos de busca inseridos no Google mesmo em conexões seguras HTTPS, os pesquisadores que fizeram engenharia reversa no aplicativo descobriram que ele funciona da forma como a empresa defende.

“Com base no que pesquisei, a CarrierIQ implementa um serviço potencialmente valioso desenvolvido para aprimorar a experiência do usuário em redes de celular”, afirma o pesquisador Dan Rosenberg. “Mas eu quero deixar claro que o fato de eu não ver nenhuma evidência de intenções maliciosas não significa que o que acontece é necessariamente correto.” Ele diz que a carga não deve cair sobre a CarrierIQ, mas sim aos fabricantes e às operadoras, que são responsáveis por coletar as informações e estabelecer os contratos de prestação de serviço com os clientes.

Ainda segundo Rosenberg, o software espião é capaz de coletar mais de dez categorias de informações, definidas por cada operadora. Os dados podem incluir, por exemplo, o tamanho de um torpedo SMS, mas o software não consegue armazenar o conteúdo da mensagem.

Jon Oberheide, um estudioso especializado em dispositivos Android, também analisou várias versões do software e concluiu basicamente a mesma coisa que Rosenberg. Ele descobriu que o aplicativo tem sim a capacidade de gravar certas informações, mas não significa que ele esteja, de fato, fazendo isso. Mesmo assim, o especialistas ressalta que a possibilidade da coleta de dados é algo perigoso.