Indholdsfortegnelse:
Lad os sammenfatte: Sent onsdag aften (eller tidligt på torsdag morgen) rapporterede vi om en historie, der blev offentliggjort på Mobile Beat, der kom ud af Black Hat online sikkerhedskonference. På konferencen fortalte Kevin MaHaffey, CTO hos det mobile sikkerhedsfirma Lookout, om en app fra udvikleren "jackeey, tapet", som dybest set er en portal til download af tapeter til din Android-telefon. Historien fortalte historien om "en tvivlsom Android mobil tapet-app, der indsamler dine personlige data og sender dem til et mystisk sted i Kina (og) er blevet downloadet millioner af gange."
Vi har været i kontakt med Lookout - som gentager, at apps, selvom de er mistænkte, ikke nødvendigvis er ondsindede. Vi har også et svar fra den pågældende udvikler. Opdateringer fra begge dele efter pausen.
Lookout's afklaring
Tidlig torsdag morgen modtog vi en e-mail fra MaHaffey om apps "jackeey, tapet". Han præciserede følgende fra Mobile Beat-stykket såvel som vores historie:
"De tapet-applikationer, vi analyserede, viste sig at sende flere stykker følsomme data til en server, herunder en enheds telefonnummer, abonnentidentifikator og aktuelt programmeret voicemail-nummer. Applikationerne, vi analyserede, fik ikke adgang til en enheds SMS-beskeder, browserhistorik eller voicemail adgangskode (medmindre en bruger manuelt programmerede voicemail-nummeret på enheden til at inkludere voicemail-adgangskoden)."
Han tilføjede også "mens de data, tapetapperne får adgang til, helt sikkert er mistænkelige fra tapet-apps, siger vi ikke, at disse applikationer er ondsindede."
Blogindlæg forklarer metodikken
Torsdag eftermiddag offentliggjorde MaHaffey en lang forklaring på Lookouts blog, hvori den pågældende kode blev beskrevet og gentog, at mens den pågældende kode er mistænkt, "er der ingen bevis for ondsindet adfærd." Og det er en vigtig forskel at foretage.
Så hvad er det store? Sådan forklarer MaHaffey ting:
"Der er kode i tapetprogrammerne, der får adgang til følsomme data. Det er vigtigt at bemærke, at ikke alle applikationer, der får adgang til følsomme data, faktisk sender dem ud af enheden. For at se, hvilken slags information tapetapplikationerne sender til internettet, vi analyserede netværkstrafikken genereret af applikationen. Da vi brugte applikationen, stod især en anmodning ud, en ikke-krypteret HTTP-anmodning til en server med navnet 'imnet.us.'"
Udvikleren reagerer
Vi har været i kontakt med tapet-applikationernes udvikler i dag og spurgt nøjagtigt, hvilke oplysninger apps indsamler, og hvorfor nogen information vil blive sendt til en server. (At serveren er i Kina er sandsynligvis ikke relevant).
Du kan læse hele svaret nedenfor, hvoraf meget er gengivet under opsyn af Lookouts tidligere præcisering af, at tekstmeddelelse og browserhistorik faktisk ikke blev samlet. Hvad angår hvad der blev samlet, fortalte udvikleren os følgende:
Jeg indsamlede skærmstørrelsen for at returnere mere passende tapet til telefonen. Flere og flere brugere mailede mig for at fortælle, at de elsker mine tapet-apps så meget, fordi selv "Baggrund" ikke godt kan passe til telefonens skærm.
Jeg har også samlet enheds-id, telefonnummer og abonnent-id, det har ikke noget forhold til brugerdata. Der er få apps i Android-markedet har favoritfunktionen. Mange brugere foreslår, at jeg skulle levere funktionen, så jeg bruger disse til at identificere enheden, så de kan foretage favoritbaggrunde mere bekvemt og genoptage hans favoritter efter at nulstille systemet eller skifte telefon.
Så det er her, vi står. Og dette er ikke nødvendigvis en ny ting til Android. Apps kan have adgang til dele af din telefon, de ikke nødvendigvis har brug for, men uden ondsindet tilsigtet. (Det er her disse nylige "X procent af Android-apps kan få på dine personlige data !!!" -historier er kommet fra.) Det er bare et spørgsmål om kodning og forsæt, ikke? Når det er sagt, skal du være opmærksom på den advarsel, du får, hver gang du installerer en app. Vores tidligere eksempel ringer sandt: Hvis en regnemaskine siger, at det var nødvendigt at se mine tekstmeddelelser, ville jeg bekymre mig. En masse. Det er enten en dårligt kodet app, eller det er ikke noget godt. Uanset hvad, jeg vil ikke have det på min telefon.
Er dette alt FUD? Når et sikkerhedsfirma siger, at vi skal være på vagt, er vi på vagt - og det faktum, at et sikkerhedsfirma tjener sine penge på at sælge sikkerhedssoftware, går ikke tabt på os. Men tag dig god tid og læse MaHaffey's indlæg igen. Og læs udviklerens svar igen nedenfor.
Historien er moralsk, husk, hvad du downloader, læser så meget du kan og holder dig på toppen af tingene. Lookouts MaHaffey siger det også, slutter med "Overordnet set er vores mål at hjælpe brugere og udviklere på tværs af alle mobile platforme til at være ansvarlige og årvågen til at sikre en sikker mobiloplevelse."
Ja.
Jackeey-svar
