Sadržaj:
Zaključimo: Kasno u srijedu navečer (ili rano u četvrtak ujutro), izvijestili smo o priči objavljenoj na Mobile Beatu koja je izašla iz internetske sigurnosne konferencije Black Hat. Na konferenciji je Kevin MaHaffey, CTO u mobilnoj zaštitnoj tvrtki Lookout, rekao za aplikaciju programera "jackeey, wallpaper", koja je u osnovi portal za preuzimanje pozadina za vaš Android telefon. Priča je pripovijedala o "upitnoj Androidovoj aplikaciji za mobilne pozadine koja sakuplja vaše osobne podatke i šalje je na tajanstveno mjesto u Kini (i) koja je preuzeta milijunima puta."
Bili smo u kontaktu s Lookoutom - koji ponavlja kako aplikacije, iako sumnjaju, nisu nužno zlonamjerne. Također imamo odgovor dotičnog razvojnog programera. Ažuriranja za obje, nakon prekida.
Pojašnjenje vidikovca
Ujutro rano u četvrtak od MaHaffeya smo primili e-poštu u vezi s aplikacijama "jackeey, wallpaper". Iz komada Mobile Beat pojasnio je sljedeće, kao i našu priču:
"Pozadinske aplikacije koje smo analizirali pokazale su da šalju nekoliko dijelova osjetljivih podataka na poslužitelj, uključujući telefonski broj uređaja, identifikator pretplatnika i trenutno programirani broj govorne pošte. Aplikacije koje smo analizirali nisu pristupili SMS porukama uređaja, povijesti pregledavanja ili govornoj pošti zaporka (osim ako korisnik nije ručno programirao broj govorne pošte na uređaju da uključuje lozinku glasovne pošte)."
Također je dodao "dok su podaci kojima aplikacije za pozadinu pristupaju sigurno sumnjivi iz aplikacija za pozadinske slike, ne kažemo da su te aplikacije zlonamjerne".
U postu na blogu objašnjava se metodologija
U četvrtak popodne, MaHaffey je objavio dugotrajno objašnjenje na blogu Lookout, u kojem je detaljno napisao dotični kôd i ponovio da, iako je dotični kod sumnjiv, "nema dokaza o zlonamjernom ponašanju". I to je važno razlikovanje.
Pa što je velika stvar? Evo kako MaHaffey objašnjava stvari:
"U pozadinskim aplikacijama postoji kôd koji pristupa osjetljivim podacima. Važno je napomenuti da ga sve aplikacije koje pristupaju osjetljivim podacima zapravo ne prenose s uređaja. Da bismo vidjeli kakvu vrstu podataka pozadinske aplikacije prenose na internet, analizirao je mrežni promet koji je generirala aplikacija. Kad smo koristili aplikaciju, posebno se istakao jedan zahtjev, nešifrirani HTTP zahtjev, na poslužitelj pod nazivom 'imnet.us.'"
Programer odgovara
Danas smo bili u kontaktu s programerom aplikacija za pozadinske programe i pitali točno koje informacije prikupljaju aplikacije i zašto bi bilo kakve informacije bile poslane na poslužitelj. (To što je poslužitelj u Kini vjerojatno nije važno.)
Cijeli odgovor možete pročitati u nastavku, od čega je veći dio donet pod prethodnim pojašnjenjem Lookuta da tekstualna poruka i povijest pregledavanja zaista nisu prikupljeni. Što se tiče prikupljenog, programer nam je rekao sljedeće:
Skupio sam veličinu zaslona da bih vratio prikladnije pozadine za telefon. Sve više i više korisnika e-poštom mi je govorilo da toliko vole moje pozadinske aplikacije, jer čak ni pozadina ne može dobro odgovarati zaslonu telefona.
Skupljao sam i ID uređaja, telefonski broj i ID pretplatnika, on nema veze s korisničkim podacima. Na Android tržištu postoji nekoliko aplikacija koje imaju značajku favorita. Mnogi korisnici sugeriraju da bih trebao pružiti tu značajku pa ih koristim za prepoznavanje uređaja kako bi povoljno pozadini pozadine i nastavio svoje favorite nakon resetiranja sustava ili promjene telefona.
Dakle, tu stojimo. A to nije nužno nova stvar za Android. Aplikacije mogu imati pristup dijelovima vašeg telefona koji im nužno nisu potrebni, ali bez namjere zlonamjernosti. (Otuda potječu ove nedavne priče "X posto Androidovih aplikacija na vašim osobnim podacima !!!") To je samo pitanje kodiranja i namjere, zar ne? U skladu s tim, trebate obratiti pažnju na upozorenje koje dobivate svaki put kada instalirate aplikaciju. Naš prethodni primjer zvuči istinito: Ako bi, recimo, kalkulator rekao da treba vidjeti moje tekstualne poruke, zabrinuo bih se. Puno. To je ili slabo kodirana aplikacija ili nije dobra. Bilo kako bilo, ne želim to na svom telefonu.
Je li to sve FUD? Kad zaštitarska tvrtka kaže da trebamo biti oprezni, mi smo oprezni - a činjenica da zaštitarska tvrtka zarađuje novac prodajući sigurnosni softver nije izgubljena na nama. Ali, uzmite si vremena i ponovo pročitajte MaHaffeyjev post. I pročitajte odgovor programera u nastavku.
Moral priče je umišljati ono što preuzmete, pročitajte koliko možete i nastavite dalje. LookH-ov MaHaffey također kaže da završava s "Općenito, naš je cilj pomoći korisnicima i programerima da podjednako na svim mobilnim platformama budu odgovorni i budni u osiguravanju sigurnog mobilnog iskustva."
Doista.
Jackeeyjev odgovor
