Lad os sammenfatte: Sent onsdag aften (eller tidligt torsdag morgen) rapporterede vi om en historie udgivet på Mobile Beat der kom ud af Black Hat online sikkerhedskonference. På konferencen Kevin MaHaffey, CTO hos mobil sikkerhedsfirma Pas på, fortalte om en app fra udvikleren "jackeey, tapet", som grundlæggende er en portal til download af baggrunde til din Android-telefon. Historien fortalte historien om "en tvivlsom Android-mobil tapet-app, der indsamler dine personlige data og sender dem til et mystisk sted i Kina, (og) er blevet downloadet millioner af gange."
Vi har været i kontakt med Lookout - som gentager, at apps, selv om de er mistænkte, ikke nødvendigvis er ondsindede. Vi har også svar fra den pågældende udvikler. Opdateringer fra begge, efter pausen.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Lookout's afklaring
Tidligt torsdag morgen modtog vi en e-mail fra MaHaffey angående "jackeey, tapet" apps. Han præciserede følgende fra Mobile Beat-stykket såvel som vores historie:
"De tapetapplikationer, vi analyserede, viste sig at sende flere stykker følsomme data til en server, inklusive en enheds telefonnummer, abonnent-id og aktuelt programmerede telefonsvarer nummer. De applikationer, vi analyserede, fik ikke adgang til en enheds SMS-beskeder, browserhistorik eller telefonsvarer adgangskode (medmindre en bruger manuelt programmerede voicemail-nummeret på enheden til at inkludere voicemail adgangskode)."
Han tilføjede også "mens de data, tapetapperne har adgang til, helt sikkert er mistænkelige, der kommer fra tapetapps, siger vi ikke, at disse applikationer er ondsindede."
Blogindlæg forklarer metoden
Torsdag eftermiddag offentliggjorde MaHaffey en lang forklaring på Lookouts blog, hvor han detaljerede koden og gentog at mens den pågældende kode er mistænkelig, "er der ingen tegn på ondsindet opførsel." Og det er en vigtig skelnen til lave.
Så hvad er big deal? Sådan forklarer MaHaffey ting:
"Der er kode i tapetapplikationerne, der får adgang til følsomme data. Det er vigtigt at bemærke, at ikke alle applikationer, der har adgang til følsomme data, faktisk overfører dem fra enheden. For at se, hvilken slags information tapetapplikationerne sender til internettet, analyserede vi netværkstrafikken, der genereres af applikationen. Da vi brugte applikationen, stod især en anmodning ud, en ukrypteret HTTP-anmodning til en server med navnet 'imnet.us'. "
Udvikleren svarer
Vi har været i kontakt med udviklerne af tapetapplikationer i dag og spurgt nøjagtigt, hvilke oplysninger appsne indsamler, og hvorfor eventuelle oplysninger sendes til en server. (At serveren er i Kina er sandsynligvis ikke relevant.)
Du kan læse hele svaret nedenfor, hvoraf meget gengives ved hjælp af Lookouts tidligere afklaring om, at sms og browserhistorik faktisk er var ikke indsamlet. Hvad der blev indsamlet, fortalte udvikleren os følgende:
Jeg samlede skærmstørrelsen for at returnere mere passende tapet til telefonen. Flere og flere brugere mailede mig om, at de elsker mine tapetapps så meget, fordi selv "Baggrund" ikke passer godt til telefonens skærm.
Jeg har også indsamlet enheds-id, telefonnummer og abonnent-id, det har ingen relation til brugerdata. Der er få apps i Android-markedet har favoritfunktionen. Mange brugere foreslår, at jeg skal levere funktionen, så jeg bruger disse til at identificere enheden, så de kan favorit baggrunde mere bekvemt, og genoptag sine favoritter efter system nulstilling eller ændring af telefon.
Så det er her, vi står. Og dette er ikke nødvendigvis en ny ting til Android. Apps kan have adgang til dele af din telefon, som de ikke nødvendigvis har brug for, men uden hensigt med ondskab. (Det er her disse nylige "X procent af Android-apps kan få fat i dine personlige data !!!" historier er kommet fra.) Det er bare et spørgsmål om kodning og hensigt, ikke? Når det er sagt, skal du være opmærksom på den advarsel, du får hver gang du installerer en app. Vores tidligere eksempel er sandt: Hvis f.eks. En lommeregner sagde, at det var nødvendigt at se mine tekstbeskeder, ville jeg bekymre mig. En masse. Det er enten en dårligt kodet app, eller det kan ikke hjælpe. Uanset hvad, jeg vil ikke have det på min telefon.
Er det hele FUD? Når et sikkerhedsfirma siger, at vi skal være forsigtige, er vi forsigtige - og det faktum, at et sikkerhedsfirma tjener sine penge til at sælge sikkerhedssoftware, går ikke tabt for os. Men tag dig god tid og læs MaHaffey's indlæg igen. Og læs udviklerens svar igen nedenfor.
Historiens moral er tankerne om, hvad du downloader, læser så meget som muligt, og holder øje med tingene. Lookout's MaHaffey siger det også og slutter med "Samlet set er vores mål at hjælpe brugere og udviklere på tværs af alle mobile platforme for at være ansvarlig og opmærksom på at sikre en sikker mobil erfaring."
Ja.
Jackeey Svar
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse ørepropper, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
De bedste bærbare øjeblikkelige fotoprintere til Android-enheder.
Du er på farten og laver minder på din mobil. Mens digital er fantastisk, hvorfor ikke prøve at gøre disse minder lidt mere permanente med et håndgribeligt billede?