Tech новости

Охранная фирма детализирует проблемы конфиденциальности; разработчик рассказывает нам свою сторону истории

Плохое приложение для обоев

Приложение Bad Wallpaper

Напомним: поздно вечером в среду (или рано утром в четверг) мы сообщили об истории, опубликованной в Mobile Beat, которая вышла на конференции по онлайн-безопасности Black Hat. На конференции Кевин МаХаффей, технический директор компании по безопасности мобильных устройств Lookout , рассказал о приложении от разработчика «jackeey, wallpaper», которое в основном представляет собой портал для загрузки обоев для вашего телефона Android. История повествует о «сомнительном мобильном приложении для Android, которое собирает ваши личные данные и отправляет их на загадочный сайт в Китае (и) было загружено миллионы раз».

Мы связались с Lookout, который повторяет, что приложения, хотя и подозрительные, не обязательно являются вредоносными. У нас также есть ответ от разработчика. Обновления от обоих, после перерыва.

Разъяснение Lookout

Рано утром в четверг мы получили письмо от MaHaffey по поводу приложений «jackeey, wallpaper». Он разъяснил следующее из статьи Mobile Beat, а также нашу историю:

«Приложения для обработки обоев, которые мы проанализировали, доказали, что отправили на сервер несколько фрагментов конфиденциальных данных, включая номер телефона устройства, идентификатор абонента и запрограммированный в настоящее время номер голосовой почты. Приложения, которые мы проанализировали, не получили доступ к SMS-сообщениям устройства, истории просмотров или голосовой почте». пароль (если пользователь вручную не запрограммировал номер голосовой почты на устройстве для включения пароля голосовой почты). «

Он также добавил, что «хотя данные, к которым обращаются приложения для обоев, явно подозрительны, поступающие из приложений для обоев, мы не говорим, что эти приложения являются вредоносными».

Сообщение в блоге объясняет методологию

В четверг днем ​​MaHaffey опубликовал подробное объяснение в блоге Lookout, подробно описав соответствующий код и повторив, что, хотя рассматриваемый код является подозрительным, «нет никаких доказательств злонамеренного поведения». И это важное различие.

Так в чем же дело? Вот как MaHaffey объясняет вещи:

«В приложениях обоев есть код, который обращается к конфиденциальным данным. Важно отметить, что не все приложения, которые получают доступ к конфиденциальным данным, на самом деле передают их с устройства. Чтобы узнать, какую информацию приложения обоев передают в Интернет, мы проанализировал сетевой трафик, генерируемый приложением. Когда мы использовали приложение, особенно выделялся один запрос — незашифрованный HTTP-запрос к серверу с именем «imnet.us». «

Разработчик отвечает

Сегодня мы связались с разработчиком приложений для обоев и спросили, какую именно информацию собирают приложения, и почему любая информация будет отправлена ​​на сервер. (То, что сервер находится в Китае, вероятно, не имеет значения.)

Вы можете прочитать весь ответ ниже, большая часть которого не соответствует действительности из-за предыдущих разъяснений Lookout о том, что текстовое сообщение и история просмотра действительно не были собраны. Что касается того, что было собрано, разработчик сказал нам следующее:

Я собрал размер экрана, чтобы вернуть более подходящие обои для телефона. Все больше и больше пользователей писали мне по электронной почте, говоря, что им очень нравятся мои приложения для обоев, потому что даже «Фон» не совсем подходит для экрана телефона.
Я также собрал идентификатор устройства, номер телефона и идентификатор абонента, он не имеет отношения к данным пользователя. Есть несколько приложений на Android Market, есть функция избранного. Многие пользователи предлагают, чтобы я предоставил эту функцию, чтобы я использовал их для идентификации устройства, чтобы они могли более удобно добавлять обои на рабочий стол и возобновлять его избранное после сброса системы или смены телефона.

Итак, вот где мы находимся. И это не обязательно новинка для Android. Приложения могут иметь доступ к тем частям вашего телефона, которые им не обязательно нужны, но без преднамеренных действий (Вот откуда пришли эти недавние истории о том, как «X процентов приложений Android могут получить ваши личные данные !!!» .) Это просто вопрос кодирования и намерения, верно? Тем не менее, вам нужно обратить внимание на предупреждение, которое вы получаете при каждой установке приложения. Наш предыдущий пример звучит правдоподобно: если, скажем, калькулятор сказал, что мне нужно увидеть мои текстовые сообщения, я бы волновался. Много. Это либо плохо закодированное приложение, либо ничего хорошего. В любом случае, я не хочу это на моем телефоне.

Это все FUD ? Когда охранная компания говорит, что мы должны быть осторожны, мы насторожены — и тот факт, что охранная компания зарабатывает деньги, продавая программное обеспечение безопасности, не теряется для нас. Но не торопитесь и прочитайте пост MaHaffey снова. И прочитайте ответ разработчика снова ниже.

Мораль этой истории заключается в том, что вы загружаете, читаете столько, сколько можете, и следите за событиями. Так же говорит MaHaffey из Lookout, заканчивая словами: «В целом, наша цель — помочь пользователям и разработчикам на всех мобильных платформах быть ответственными и бдительными в обеспечении безопасности мобильных приложений».

Действительно.

Jackeey Response

Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше

Похожие посты
Tech новости

Про совет: Протрите порно с вашего телефона перед заменой его

Tech новости

Проект Android UI Utilities приносит унифицированные инструменты дизайна для разработчиков

Tech новости

Google утверждает, что популярные обои-приложения считаются безопасными

Tech новости

Клавиатура Swiftkey из бета-версии автоматически предсказывает выход в Android Market