Obsah:
Zrekapitulujeme: Koncom stredy v noci (alebo skoro vo štvrtok ráno) sme informovali o príbehu uverejnenom na Mobile Beat, ktorý vyšiel z online bezpečnostnej konferencie Black Hat. Na konferencii Kevin MaHaffey, CTO v mobilnej bezpečnostnej spoločnosti Lookout, povedal o aplikácii od vývojára „jackeey, tapeta“, čo je v podstate portál na stiahnutie tapiet pre váš telefón s Androidom. Príbeh rozprával príbeh „pochybnej aplikácie pre mobilné tapety pre Android, ktorá zhromažďuje vaše osobné údaje a odosiela ich na tajomnú stránku v Číne (a) bola stiahnutá miliónkrát.“
Boli sme v kontakte s Lookout - čo opakuje, že aplikácie, aj keď sú podozrivé, nemusia byť nevyhnutne škodlivé. Máme tiež odpoveď od príslušného vývojára. Aktualizácie z oboch, po prestávke.
Vysvetlenie Lookoutu
Začiatkom štvrtka ráno sme od spoločnosti MaHaffey dostali e-mail týkajúci sa aplikácií „jackeey, wallpaper“. Z časti Mobile Beat, ako aj z nášho príbehu, objasnil tieto skutočnosti:
„Aplikácie tapiet, ktoré sme analyzovali, dokázali poslať na server niekoľko citlivých údajov vrátane telefónneho čísla zariadenia, identifikátora účastníka a aktuálne naprogramovaného čísla hlasovej schránky. Aplikácie, ktoré sme analyzovali, nepristupovali k SMS správam zariadenia, histórii prehliadania alebo hlasovej schránke zariadenia heslo (pokiaľ používateľ manuálne nenaprogramoval číslo hlasovej schránky v zariadení tak, aby obsahovalo heslo hlasovej schránky). ““
Dodal tiež, že „zatiaľ čo údaje, ku ktorým pristupujú tapety, sú určite podozrivé z aplikácií pre tapety, nehovoríme však, že tieto aplikácie sú škodlivé“.
V blogovom príspevku je vysvetlená metodika
Vo štvrtok popoludní MaHaffey uverejnil zdĺhavé vysvetlenie blogu Lookout, v ktorom podrobne opísal príslušný kód a zopakoval, že zatiaľ čo je podozrivý, „neexistuje dôkaz o škodlivom správaní“. A to je dôležité rozlíšenie.
Aký je veľký problém? Tu vysvetľuje MaHaffey veci:
„V aplikáciách tapiet je kód, ktorý pristupuje k citlivým údajom. Je dôležité si uvedomiť, že nie všetky aplikácie, ktoré pristupujú k citlivým údajom, ich skutočne prenášajú zo zariadenia. Aby sme videli, aký druh informácií aplikácie tapiet prenášajú na internet, analyzoval sieťový prenos generovaný aplikáciou. Keď sme aplikáciu použili, vynikla najmä jedna požiadavka, nezašifrovaná požiadavka HTTP na server s názvom „imnet.us“."
Vývojár odpovie
Dnes sme boli v kontakte s vývojárom tapetových aplikácií a pýtali sme sa presne, aké informácie aplikácie zhromažďujú a prečo by sa akékoľvek informácie posielali na server. (Je pravdepodobné, že server je v Číne.)
Celú odpoveď si môžete prečítať nižšie, z čoho veľká časť vyplýva z predchádzajúceho vysvetlenia programu Lookout, že textové správy a história prehliadania sa v skutočnosti nezhromaždili. Čo sa týka toho, čo bolo zhromaždené, vývojár nám povedal toto:
Zhromaždil som veľkosť obrazovky, aby som vrátil vhodnejšiu tapetu pre telefón. Stále viac a viac používateľov mi e-mailom posielalo správy, že ich aplikácie pre tapety tak veľmi milujú, pretože dokonca ani „Pozadie“ nedokáže dobre prispôsobiť obrazovku telefónu.
Zhromaždil som tiež ID zariadenia, telefónne číslo a ID predplatiteľa, nemá žiadny vzťah k údajom o používateľovi. Existuje málo aplikácií na trhu Android má obľúbené funkcie. Mnoho používateľov navrhuje, aby som túto funkciu poskytol, aby som ich používal na identifikáciu zariadenia, aby si pohodlnejšie obľúbili tapety a obnovili svoje obľúbené po resetovaní systému alebo výmene telefónu.
Tak sme tu. A nie je to nevyhnutne nová vec pre Android. Aplikácie môžu mať prístup k častiam vášho telefónu, ktoré nepotrebujú, ale bez úmyslu. (Odtiaľ pochádzajú tieto nedávne príbehy „X percent aplikácií pre Android môžu získať vaše osobné údaje !!!“.) Je to len otázka kódovania a zámeru, nie? To znamená, že musíte venovať pozornosť varovaniu, ktoré dostanete pri každej inštalácii aplikácie. Náš predchádzajúci príklad je pravdivý: Ak, napríklad, kalkulačka povedala, že je potrebné vidieť moje textové správy, obávam sa. Veľa. Je to buď zle kódovaná aplikácia, alebo je to k ničomu. V žiadnom prípade to nechcem vo svojom telefóne.
Je to všetko FUD? Keď bezpečnostná spoločnosť hovorí, že musíme byť obozretní, sme obozretní - a skutočnosť, že bezpečnostná spoločnosť vynakladá svoje peniaze na predaj bezpečnostného softvéru, sa o nás nestráca. Nájdite si však čas a znova si prečítajte príspevok od MaHaffeya. A znova si prečítajte odpoveď vývojára nižšie.
Morálnou stránkou príbehu je myseľ, čo sťahujete, čítate toľko, koľko len dokážete, a udržujete si prehľad o všetkom. Vyhliadková MaHaffey tiež hovorí, končiac slovami „Celkovo je naším cieľom pomôcť používateľom a vývojárom na všetkých mobilných platformách, aby boli zodpovední a ostražití pri zabezpečovaní bezpečného používania mobilných zariadení.“
Naozaj.
Jackeey Response
