Võtame kokku: kolmapäeva hilisõhtul (või neljapäeva varahommikul) raporteerisime loost avaldatud Mobile Beatis mis tuli välja veebiturvalisuskonverentsilt Black Hat. Konverentsil Kevin MaHaffey, mobiilse turvafirma juht Vaata ette, rääkis arendaja rakendusest "jackeey, wallpaper", mis on põhimõtteliselt teie Android-telefoni taustapiltide allalaadimise portaal. Lugu rääkis loost "küsitav Androidi mobiilse taustapildi rakendus, mis kogub teie isikuandmeid ja saadab need Hiina salapärasele saidile (ja on miljoneid kordi alla laaditud)".
Oleme olnud ühenduses Lookoutiga, mis kordab, et kuigi rakendused kahtlustavad, ei pruugi need tingimata olla pahatahtlikud. Oleme saanud vastuse ka kõnealuselt arendajalt. Pärast pausi värskendused mõlemalt.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Lookouti täpsustus
Neljapäeva varahommikul saime MaHaffeylt e-kirja rakenduste "jackeey, wallpaper" kohta. Ta täpsustas Mobile Beat'i tükist järgmist ja ka meie lugu:
"Analüüsitud taustapildirakendused tõestasid, et a server, sealhulgas seadme telefoninumber, abonendi identifikaator ja praegu programmeeritud kõnepost number. Meie analüüsitud rakendused ei pääsenud juurde seadme SMS-ide, sirvimisajaloo ega kõneposti juurde parool (välja arvatud juhul, kui kasutaja on seadistanud kõneposti kaasamiseks seadmes käsitsi kõneposti numbri parool). "
Ta lisas ka, et "kui taustpildirakenduste juurde pääsevad andmed on kindlasti tapeedirakendustest kahtlased, ei ütle me, et need rakendused oleksid pahatahtlikud".
Blogipostitus selgitab metoodikat
Neljapäeva pärastlõunal postitas MaHaffey Lookouti ajaveebi pika selgituse, milles kirjeldati üksikasjalikult kõnealust koodi ja korrati et kuigi kõnealune kood on kahtlane, "pole tõendeid pahatahtlikust käitumisest". Ja see on oluline erinevus tegema.
Mis on siis suur asi? MaHaffey selgitab asju nii:
"Tapeetirakendustes on kood, mis pääseb ligi tundlikele andmetele. Oluline on märkida, et mitte kõik tundlikele andmetele juurde pääsevad rakendused ei edasta neid seadmest tegelikult välja. Selleks, et näha, millist teavet tapeedirakendused Internetti edastavad, analüüsisime rakenduse loodud võrguliiklust. Kui me rakendust kasutasime, paistis silma eriti üks taotlus, krüpteerimata HTTP-päring serverile nimega 'imnet.us'. "
Arendaja vastab
Oleme täna olnud kontaktis tapeedirakenduste arendajaga ja küsinud, millist teavet rakendused täpselt koguvad ja miks mis tahes teave serverile saadetakse. (See, et server on tõenäoliselt Hiinas, ei oma tähtsust.)
Allpool saate lugeda kogu vastust, millest suure osa muudab vaidluseks Lookouti varasem selgitus, et tekstisõnumid ja sirvimisajalugu on tõepoolest ei olnud tasakaalukas. Kogutu kohta ütles arendaja meile järgmist:
Kogusin ekraani suuruse, et telefonile sobivam taustpilt tagastada. Üha rohkem kasutajaid saatis mulle e-kirja, öeldes, et nad armastavad minu taustpildirakendusi nii väga, sest isegi see taust ei sobi telefoni ekraanile hästi.
Kogusin ka seadme ID-d, telefoninumbrit ja abonendi ID-d, sellel pole seost kasutajaandmetega. Android Marketis on vähe rakendusi, millel on lemmikute funktsioon. Paljud kasutajad soovitavad, et peaksin selle funktsiooni pakkuma, et kasutaksin neid seadme tuvastamiseks, et nad saaksid seda teha lemmik taustapilte mugavamalt ja jätkake oma lemmikute kasutamist pärast süsteemi lähtestamist või muutmist telefon.
Nii me seal seisamegi. Ja see pole Androidi jaoks tingimata uus asi. Rakendustel on juurdepääs teie telefoni osadele, mida nad tingimata ei vaja, kuid ilma pahatahtlikkuseta. (Seal need hiljutised "X protsenti Androidi rakendustest pääseb teie isiklike andmete juurde !!!" lood on tulnud.) Küsimus on lihtsalt kodeerimises ja kavatsuses, eks? See tähendab, et peate siiski pöörama tähelepanu hoiatusele, mida saate iga rakenduse installimisel. Meie eelmine näide kõlab tõesena: kui ütleme näiteks, et kalkulaator ütles, et tal on vaja minu tekstsõnumeid näha, oleksin ma mures. Palju. See on kas halvasti kodeeritud rakendus või pole sellest kasu. Mõlemal juhul ei taha ma seda oma telefoni.
Kas see on kõik FUD? Kui turvafirma ütleb, et peame olema ettevaatlikud, oleme ettevaatlikud - ja see, et turvafirma teenib oma raha turvatarkvara müümisel, ei kao meile. Võtke aga aega ja lugege uuesti MaHaffey postitust. Ja lugege allpool uuesti arendaja vastust.
Loo moraal on mõte, mida laadite alla, loete nii palju kui võimalik ja hoiate asjadega kursis. Ka Lookouti MaHaffey ütleb nii, lõpetades sõnaga "Üldiselt on meie eesmärk aidata kasutajaid ja arendajaid sarnaselt kõikidele mobiiliplatvormidele, et olla ohutu mobiili tagamisel vastutustundlik ja valvsad kogemus. "
Tõepoolest.
Jackeey vastus
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate osta iga hinnaga!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja mahuvad kergesti taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mis on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Parimad kaasaskantavad kiirfotoprinterid Android-seadmetele.
Olete liikvel ja teete mälestusi oma mobiilis. Kuigi digitaalne on suurepärane, siis miks mitte proovida neid mälestusi käegakatsutava fotoga veidi püsivamaks muuta?