Cuprins:
Să recapitulăm: târziu seara de miercuri (sau joi dimineața devreme), am raportat la o poveste publicată la Mobile Beat care a ieșit din conferința de securitate online a Black Hat. În cadrul conferinței, Kevin MaHaffey, CTO la firma de securitate mobilă Lookout, a povestit despre o aplicație a dezvoltatorului „jackeey, tapet”, care este practic un portal pentru descărcarea de imagini de fundal pentru telefonul tău Android. Povestea a spus povestea „unei aplicații de tapet pentru Android cu mobil pentru Android, care colectează datele personale și le trimite pe un site misterios din China (și) a fost descărcat de milioane de ori."
Am fost în contact cu Lookout - care reiterează că aplicațiile, deși sunt suspecte, nu sunt neapărat rău intenționate. De asemenea, am primit un răspuns din partea dezvoltatorului în cauză. Actualizări de la ambele, după pauză.
Clarificarea lui Lookout
Joi dimineață, am primit un e-mail de la MaHaffey cu privire la aplicațiile „jackeey, tapet”. El a lămurit următoarele din piesele Mobile Beat, precum și povestea noastră:
"Aplicațiile de fundal pe care le-am analizat s-au dovedit a trimite mai multe bucăți de date sensibile către un server, inclusiv numărul de telefon al unui dispozitiv, identificatorul abonatului și numărul programului de mesagerie vocală programat în prezent. Aplicațiile pe care le-am analizat nu au accesat mesajele SMS ale unui dispozitiv, istoricul navigării sau mesajul vocal parola (cu excepția cazului în care un utilizator a programat manual numărul de mesagerie vocală pe dispozitiv pentru a include parola de mesagerie vocală)."
El a adăugat, de asemenea, „în timp ce datele pe care le accesează aplicațiile de fundal sunt cu siguranță suspecte provenind de la aplicațiile de fundal, nu spunem că aceste aplicații sunt dăunătoare”.
Postarea pe blog explică metodologia
Joi după-amiază, MaHaffey a postat o lungă explicație pe blogul lui Lookout, în care a detaliat codul în cauză și a reiterat că, deși codul în cauză este suspect, „nu există dovezi de comportament rău intenționat”. Și asta este o distincție importantă de făcut.
Deci, care este marele lucru? Iată cum MaHaffey explică lucrurile:
"Există un cod în aplicațiile de fundal care accesează date sensibile. Este important de menționat că nu toate aplicațiile care accesează date sensibile le transmit efectiv în afara dispozitivului. Pentru a vedea ce informații transmit aplicațiile tapetate pe internet, noi a analizat traficul de rețea generat de aplicație. Când am folosit aplicația, a fost evidențiată o solicitare, în special, o solicitare HTTP necriptată către un server numit „imnet.us”."
Dezvoltatorul răspunde
Am fost în contact cu dezvoltatorul aplicațiilor de fundal astăzi și am întrebat exact ce informații colectează aplicațiile și de ce orice informație ar fi trimisă unui server. (Probabil că serverul este în China este irelevant.)
Puteți citi întregul răspuns de mai jos, o mare parte din ele fiind redate prin clarificarea anterioară a Lookout că mesajele text și istoricul de navigare nu au fost colectate. În ceea ce privește ceea ce a fost colectat, dezvoltatorul ne-a spus următoarele:
Am colectat dimensiunea ecranului pentru a returna imagini de fundal mai potrivite pentru telefon. Tot mai mulți utilizatori mi-au trimis prin e-mail spunând că le plac atât de mult aplicațiile mele de fundal, deoarece chiar și „Fundalul” nu se potrivește bine ecranului telefonului.
Am colectat și id-ul dispozitivului, numărul de telefon și ID-ul abonatului, nu are nicio relație cu datele utilizatorului. Există puține aplicații pe piața Android care are caracteristica favorită. Mulți utilizatori sugerează că ar trebui să furnizez funcția, astfel încât să le folosesc pentru a identifica dispozitivul, astfel încât să poată favoriza imaginile de fundal mai convenabil și să-și reia favorite-urile după resetarea sau schimbarea telefonului.
Deci, acolo stăm. Și acest lucru nu este neapărat un lucru nou pentru Android. Aplicațiile pot avea acces la anumite părți ale telefonului dvs. de care nu au neapărat nevoie, dar fără răutate. (De aici, aceste „X procente din aplicațiile Android pot obține date personale !!!”. Au apărut povești.) Este doar o chestiune de codificare și intenție, nu? Acestea fiind spuse, trebuie să acordați atenție avertismentului pe care îl primiți de fiecare dată când instalați o aplicație. Exemplul nostru anterior sună adevărat: Dacă, să spunem, un calculator a spus că trebuie să-mi vadă mesajele text, mi-aș face griji. Mult. Este fie o aplicație slab codificată, fie nu este în regulă. Oricum, nu-l vreau la telefon.
Este totul FUD? Când o companie de securitate spune că trebuie să fim atenți, suntem atenți - și faptul că o companie de securitate își face banii care vând software-ul de securitate nu se pierde la noi. Dar fa-ți timp și citește din nou postarea lui MaHaffey. Și citiți din nou răspunsul dezvoltatorului mai jos.
Morala poveștii este mintea a ceea ce descărcați, citiți cât puteți și țineți cont de lucruri. De asemenea, MaHaffey de la Lookout spune acest lucru, încheindu-se cu „În general, obiectivul nostru este să ajutăm utilizatorii și dezvoltatorii de la toate platformele mobile să fie responsabili și vigilenți în asigurarea unei experiențe mobile sigure.”
Intr-adevar.
Răspunsul lui Jackeey
