Spisu treści:
Podsumujmy: późną środę wieczorem (lub wczesny czwartek rano) informowaliśmy o historii opublikowanej na Mobile Beat, która wyszła z konferencji bezpieczeństwa online Black Hat. Na konferencji Kevin MaHaffey, dyrektor ds. Bezpieczeństwa w firmie mobilnej Lookout, powiedział o aplikacji od dewelopera „jackeey, wallpaper”, która w zasadzie jest portalem do pobierania tapet na telefon z Androidem. Historia opowiedziała o „wątpliwej aplikacji mobilnej na Androida, która zbiera dane osobowe i wysyła je na tajemniczą stronę w Chinach (i) została pobrana miliony razy”.
Jesteśmy w kontakcie z Lookout - co przypomina, że aplikacje, choć podejrzane, niekoniecznie są złośliwe. Mamy również odpowiedź od danego programisty. Aktualizacje obu, po przerwie.
Wyjaśnienie punktu obserwacyjnego
Wcześnie rano w czwartek otrzymaliśmy e-mail od MaHaffey dotyczący aplikacji „jackeey, wallpaper”. Wyjaśnił następujące elementy utworu Mobile Beat, a także naszą historię:
„Analizowane aplikacje do tapet okazały się wysyłać do serwera kilka poufnych danych, w tym numer telefonu urządzenia, identyfikator subskrybenta i aktualnie zaprogramowany numer poczty głosowej. Analizowane aplikacje nie miały dostępu do wiadomości SMS urządzenia, historii przeglądania ani poczty głosowej hasło (chyba że użytkownik ręcznie zaprogramował numer poczty głosowej na urządzeniu, aby zawierał hasło poczty głosowej). ”
Dodał także: „chociaż dane, do których uzyskują dostęp aplikacje do tapet, z pewnością są podejrzane, że pochodzą od aplikacji do tapet, nie twierdzimy, że są one złośliwe”.
Wpis na blogu wyjaśnia metodologię
W czwartkowe popołudnie MaHaffey opublikował obszerne wyjaśnienie na blogu Lookout, szczegółowo opisując kod i powtarzając, że chociaż kod jest podejrzany, „nie ma dowodów na złośliwe zachowanie”. I to ważne rozróżnienie.
Więc o co chodzi? Oto jak MaHaffey wyjaśnia rzeczy:
„W aplikacjach do tapet znajduje się kod, który uzyskuje dostęp do poufnych danych. Ważne jest, aby pamiętać, że nie wszystkie aplikacje, które uzyskują dostęp do wrażliwych danych, faktycznie przesyłają je z urządzenia. Aby zobaczyć, jakie informacje aplikacje do tapet przesyłają do Internetu, analizował ruch sieciowy generowany przez aplikację. Kiedy korzystaliśmy z aplikacji, wyróżniało się jedno żądanie, niezaszyfrowane żądanie HTTP do serwera o nazwie „imnet.us”. „
Deweloper odpowiada
Jesteśmy dziś w kontakcie z twórcą aplikacji do tapet i zapytaliśmy dokładnie, jakie informacje zbierają aplikacje i dlaczego jakiekolwiek informacje zostaną przesłane na serwer. (To, że serwer znajduje się w Chinach, prawdopodobnie nie ma znaczenia).
Całą odpowiedź możesz przeczytać poniżej, z czego większość została przytoczona przez wcześniejsze wyjaśnienie Lookout, że wiadomość tekstowa i historia przeglądania rzeczywiście nie zostały zebrane. Co do tego, co zostało zebrane, programista powiedział nam, co następuje:
Zebrałem rozmiar ekranu, aby zwrócić bardziej odpowiednią tapetę na telefon. Coraz więcej użytkowników wysłało mi e-maila z informacją, że tak bardzo kochają moje aplikacje do tapet, ponieważ nawet „Tło” nie pasuje do ekranu telefonu.
Zebrałem również identyfikator urządzenia, numer telefonu i identyfikator subskrybenta, nie ma on związku z danymi użytkownika. Istnieje kilka aplikacji w Android Market ma funkcję ulubionych. Wielu użytkowników sugeruje, że powinienem udostępnić tę funkcję, więc używam ich do identyfikacji urządzenia, aby mogli wygodniej ulubić tapety i wznowić swoje ulubione po zresetowaniu systemu lub zmianie telefonu.
Oto, gdzie stoimy. I niekoniecznie jest to nowa rzecz dla Androida. Aplikacje mogą mieć dostęp do części telefonu, które niekoniecznie są potrzebne, ale bez zamiaru złośliwości. (Stąd te ostatnie historie „X procent aplikacji na Androida mogą uzyskać twoje dane osobowe !!!”.) To tylko kwestia kodowania i intencji, prawda? To powiedziawszy, musisz zwracać uwagę na ostrzeżenie, które pojawia się przy każdej instalacji aplikacji. Nasz poprzedni przykład brzmi prawdziwie: jeśli, powiedzmy, kalkulator powiedział, że musi zobaczyć moje wiadomości tekstowe, martwię się. Dużo. Jest to albo źle zakodowana aplikacja, albo nic dobrego. Tak czy inaczej, nie chcę tego w telefonie.
Czy to wszystko FUD? Kiedy firma ochroniarska mówi, że musimy być ostrożni, jesteśmy ostrożni - a fakt, że firma ochroniarska zarabia na sprzedaży oprogramowania zabezpieczającego, nie jest dla nas stracony. Ale nie spiesz się i przeczytaj ponownie post MaHaffeya. I przeczytaj odpowiedź dewelopera ponownie poniżej.
Morał tej historii polega na tym, co pobierasz, czytasz tyle, ile możesz i na bieżąco. Tak też mówi MaHaffey z Lookout, kończąc na „Ogólnie rzecz biorąc, naszym celem jest pomoc użytkownikom i programistom na wszystkich platformach mobilnych, aby byli odpowiedzialni i czujni w zapewnianiu bezpiecznego korzystania z urządzeń mobilnych”.
W rzeczy samej.
Odpowiedź Jackeey
