Da ponovimo: Kasno u srijedu navečer (ili rano u četvrtak ujutro), izvijestili smo o priči objavljeno u Mobile Beat-u koji je izašao s mrežne sigurnosne konferencije Black Hat. Na konferenciji je Kevin MaHaffey, tehnički direktor u tvrtki za mobilnu sigurnost Pazi, rekao je o aplikaciji programera "jackeey, wallpaper", koja je u osnovi portal za preuzimanje pozadina za vaš Android telefon. Priča je ispričala priču o "upitnoj Android aplikaciji za pozadinu za mobilne uređaje koja prikuplja vaše osobne podatke i šalje ih na misteriozno mjesto u Kini (i) preuzimana je milijunima puta."
Kontaktirali smo s Lookoutom - koji ponavlja da aplikacije, iako sumnjive, nisu nužno zlonamjerne. Također smo dobili odgovor od predmetnog programera. Ažuriranja od oba, nakon pauze.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Pojašnjenje vidikovca
Rano u četvrtak ujutro, primili smo e-poštu od MaHaffeyja u vezi s aplikacijama "jakna, tapeta". Pojasnio je sljedeće iz djela Mobile Beat, kao i našu priču:
"Analizirali smo da pozadine aplikacija koje su analizirale šalju nekoliko osjetljivih podataka na poslužitelju, uključujući telefonski broj uređaja, identifikator pretplatnika i trenutno programiranu govornu poštu broj. Aplikacije koje smo analizirali nisu pristupile SMS porukama uređaja, povijesti pregledavanja ili govornoj pošti lozinka (osim ako korisnik ručno nije programirao broj govorne pošte na uređaju tako da uključuje govornu poštu lozinka)."
Također je dodao "iako su podaci kojima aplikacije za pozadinu pristupaju sigurno sumnjivi iz aplikacija za pozadinu, ne kažemo da su te aplikacije zlonamjerne."
Objava na blogu objašnjava metodologiju
U četvrtak popodne MaHaffey je na blogu Lookout objavio poduže objašnjenje, detaljno opisujući dotični kod i ponavljajući da, iako je dotični kod sumnjiv, "nema dokaza o zlonamjernom ponašanju". I to je važna razlika za napraviti.
Pa u čemu je stvar? Evo kako MaHaffey objašnjava stvari:
"U aplikacijama za pozadinu postoji kôd koji pristupa osjetljivim podacima. Važno je napomenuti da ih sve aplikacije koje pristupaju osjetljivim podacima zapravo ne prenose s uređaja. Kako bismo vidjeli kakve informacije pozadinske aplikacije prenose na internet, analizirali smo mrežni promet koji generira aplikacija. Kada smo koristili aplikaciju, posebno se isticao jedan zahtjev, nešifrirani HTTP zahtjev poslužitelju pod nazivom "imnet.us". "
Programer odgovara
Danas smo kontaktirali programera pozadinskih aplikacija i pitali točno koje informacije aplikacije prikupljaju i zašto bi se bilo kakve informacije slale na poslužitelj. (Da je poslužitelj vjerojatno u Kini, nevažno je.)
Cijeli odgovor možete pročitati u nastavku, od čega je većina izvrgnuta sporenima iz Lookout-ovog prethodnog pojašnjenja da su tekstne poruke i povijest pregledavanja doista nije prikupljeni. Što se tiče prikupljenog, programer nam je rekao sljedeće:
Prikupio sam veličinu zaslona da bih vratio prikladniju pozadinu za telefon. Sve više i više korisnika poslalo mi je e-poštu rekavši da toliko vole moje aplikacije za tapete, jer ta čak ni "Pozadina" ne može dobro odgovarati zaslonu telefona.
Također sam prikupio ID uređaja, telefonski broj i pretplatnički ID, nema veze s korisničkim podacima. Na Android tržištu postoji nekoliko aplikacija koje imaju značajku favorita. Mnogi korisnici sugeriraju da bih trebao pružiti značajku pa ih koristim za prepoznavanje uređaja kako bi mogli prikladnije je odabrati omiljene slike i nastaviti s omiljenim nakon resetiranja ili promjene sustava telefon.
Dakle, tu mi stojimo. A ovo nije nužno novo za Android. Aplikacije mogu imati pristup dijelovima vašeg telefona koji im nisu nužno potrebni, ali bez namjere zlonamjernosti. (Tu su ovi nedavni "X posto Android aplikacija može doći do vaših osobnih podataka !!!" došle su priče.) Pitanje je samo kodiranja i namjere, zar ne? Ipak, morate obratiti pažnju na upozorenje koje dobijete svaki put kada instalirate aplikaciju. Naš prethodni primjer zvuči istinito: ako bi, recimo, kalkulator rekao da treba vidjeti moje tekstne poruke, brinula bih se. Puno. To je ili loše kodirana aplikacija, ili ne donosi ništa dobro. U svakom slučaju, ne želim to na svom telefonu.
Je li to sve FUD? Kad zaštitarska tvrtka kaže da moramo biti oprezni, oprezni smo - a činjenica da zaštitarska tvrtka zarađuje prodajom sigurnosnog softvera ne gubi se na nama. Ali ne žurite i ponovno pročitajte MaHaffeyev post. I pročitajte odgovor programera u nastavku.
Moral priče je pazite što preuzmete, pročitate što više možete i pratite stvari. To kaže i MaHaffey iz Lookout-a, završavajući s "Sve u svemu, cilj nam je pomoći korisnicima i programerima na svim mobilnim platformama biti odgovorni i budni u osiguravanju sigurne mobilne mreže iskustvo."
Doista.
Odgovor Jackeeya
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Možemo zaraditi proviziju za kupnju pomoću naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Najbolji prijenosni instant foto pisači za Android uređaje.
U pokretu ste i stvarate uspomene na mobitelu. Iako je digital super, zašto ne biste pokušali te uspomene učiniti malo trajnijim opipljivom fotografijom?