Kazalo:
Na kratko: v sredo zvečer (ali zgodaj v četrtek zjutraj) smo poročali o zgodbi, objavljeni pri Mobile Beat, ki je izšla iz spletne varnostne konference Black Hat. Na konferenci je Kevin MaHaffey, CTO pri mobilnem varnostnem podjetju Lookout, povedal o aplikaciji razvijalca "jackeey, ozadje", ki je v bistvu portal za prenos ozadij za vaš Android telefon. Zgodba je pripovedovala zgodbo o "vprašljivi aplikaciji za mobilne ozadje Android, ki zbira vaše osebne podatke in jo pošlje na skrivnostno spletno mesto na Kitajskem, in (in) je bila naložena že več milijonovkrat."
Bili smo v stiku s podjetjem Lookout - kar ponavlja, da aplikacije, čeprav sumite, niso nujno zlonamerne. Imamo tudi odgovor zadevnega razvijalca. Posodobitve obeh po premoru.
Pojasnilo razgleda
Zgodaj zjutraj smo od MaHaffeyja prejeli e-pošto v zvezi z aplikacijami "jackeey, ozadje". Iz dela Mobile Beat je razjasnil naslednje in tudi našo zgodbo:
"Aplikacije za ozadje, ki smo jih analizirali, so pokazale, da na strežnik pošiljajo več delov občutljivih podatkov, vključno s telefonsko številko naprave, identifikatorjem naročnika in trenutno programirano številko glasovne pošte. Programi, ki smo jih analizirali, niso dostopali do SMS sporočil naprave, zgodovine brskanja ali glasovne pošte geslo (razen če uporabnik ročno programira številko glasovne pošte na napravi, da vključi geslo glasovne pošte)."
Dodal je še, "čeprav so podatki, do katerih dostopajo aplikacije za ozadje, gotovo sumljivi iz aplikacij za ozadje, ne trdimo, da so te aplikacije zlonamerne."
V objavi na blogu je pojasnjena metodologija
MaHaffey je v četrtek popoldne na spletnem dnevniku Lookout objavil dolgotrajno razlago, v kateri je podrobno opisal zadevno kodo in ponovno poudaril, da "medtem ko je zadevna koda sumljiva, " ni dokazov o zlonamernem vedenju. " In to je pomembno razliko.
Kaj je torej velika stvar? Tukaj je, kako MaHaffey razloži stvari:
"V aplikacijah za ozadje obstaja koda, ki dostopa do občutljivih podatkov. Pomembno je opozoriti, da jih vse aplikacije, ki dostopajo do občutljivih podatkov, dejansko ne prenašajo iz naprave. Če želite videti, kakšne informacije prenosne aplikacije za ozadje prenašajo na internet, analizirali smo omrežni promet, ki ga je ustvarila aplikacija. Ko smo uporabljali aplikacijo, je izstopala zlasti ena zahteva, šifrirana zahteva HTTP do strežnika z imenom 'imnet.us.'"
Razvijalec se odzove
Danes smo bili v stiku z razvijalcem aplikacij za ozadje in spraševali natančno, katere podatke zbirajo aplikacije in zakaj bi se kakršne koli informacije poslale strežniku. (Da je strežnik na Kitajskem verjetno nepomembno.)
Celoten odziv lahko preberete spodaj, večji del tega pa je postavljen pod prejšnjim pojasnilom Lookout-a, da besedilo sporočil in zgodovina brskanja res ni bilo zbrano. Kar se tiče zbiranja, nam je razvijalec povedal naslednje:
Zbral sem velikost zaslona, da vrnem primernejšo ozadje za telefon. Vedno več uporabnikov mi je po e-pošti sporočalo, da so tako zelo všeč mojim aplikacijam za ozadje, saj niti "Ozadje" ne more dobro ustrezati zaslonu telefona.
Zbral sem tudi id naprave, telefonsko številko in ID naročnika, nima povezave z uporabniškimi podatki. Na trgu Android je nekaj aplikacij, ki imajo priljubljene funkcije. Mnogi uporabniki predlagajo, naj priskrbim funkcijo, tako da jih uporabim za identifikacijo naprave, tako da bodo ozadja bolj priljubljena in nadaljujejo svoje priljubljene po ponastavitvi sistema ali zamenjavi telefona.
Torej, tukaj smo. In to ni nujno nova stvar za Android. Aplikacije imajo dostop do delov vašega telefona, ki jih nujno ne potrebujejo, vendar brez zlonamernosti. (Od tod prihajajo te nedavne zgodbe o "X odstotkih aplikacij za Android pri vaših osebnih podatkih !!!".) Gre le za kodiranje in namen, kajne? Kljub temu morate biti pozorni na opozorilo, ki ga dobite vsakič, ko namestite aplikacijo. Naš prejšnji primer je resničen: Če bi recimo kalkulator rekel, da je potreben za ogled mojih besedilnih sporočil, bi me skrbelo. Veliko. Je ali slabo kodirana aplikacija ali pa ni nič dobrega. Kakorkoli že, tega ne želim na svojem telefonu.
Je to vse FUD? Ko varnostno podjetje pravi, da moramo biti previdni, smo previdni - in dejstvo, da varnostno podjetje zasluži za prodajo varnostne programske opreme, se na nas ne izgubi. Toda vzemite si čas in znova preberite MaHaffeyjevo objavo. In ponovno preberite spodnji odziv razvijalca spodaj.
Morala zgodbe je, da si ogledate, kar si naložite, preberite, kolikor lahko, in nadaljujte. Tako tudi pravi LookH's MaHaffey, ki se konča z "Na splošno je naš cilj pomagati tako uporabnikom kot razvijalcem na vseh mobilnih platformah, da bodo odgovorni in pozorni pri zagotavljanju varne mobilne izkušnje."
Prav zares.
Jackeeyjev odziv
