חברת האבטחה מפרטת את חששות הפרטיות; מפתח אומר לנו את הצד שלו בסיפור

בואו נסכם: בערב רביעי מאוחר (או בשעות הבוקר המוקדמות של יום חמישי), דיווחנו על סיפור פורסם במובייל ביט שיצא מכנס האבטחה המקוון של Black Hat. בכנס, קווין מהאפי, CTO בחברת האבטחה הניידת תזהר, סיפרה על אפליקציה של המפתח "jackeey, wallpaper", שהיא בעצם פורטל להורדת טפטים לטלפון האנדרואיד שלך. הסיפור סיפר את סיפורם של "אפליקציית טפטים ניידת אנדרואיד מפוקפקת שאוספת את הנתונים האישיים שלך ושולחת אותם לאתר מסתורי בסין, (ו) הורדה מיליוני פעמים."

היינו בקשר עם Lookout - שמדגיש כי האפליקציות, למרות שהן חשודות, אינן בהכרח זדוניות. יש לנו גם תגובה מהמפתח המדובר. עדכונים משניהם, לאחר ההפסקה.

הבהרת המצפה

לפנות בוקר של יום חמישי, קיבלנו דואר אלקטרוני מ- MaHaffey בנוגע לאפליקציות "jackeey, wallpaper". הוא הבהיר את הדברים הבאים מתוך הקטע של מובייל ביט, כמו גם את הסיפור שלנו:

"יישומי הטפט שניתחנו הוכיחו כי הם שולחים כמה חלקים של נתונים רגישים ל- שרת, כולל מספר הטלפון של המכשיר, מזהה המנוי ותא הקולי המתוכנת כעת מספר. היישומים שניתחנו לא ניגשו להודעות ה- SMS של המכשיר, להיסטוריית הגלישה או לתא הקולי סיסמה (אלא אם כן משתמש תכנת באופן ידני את מספר הדואר הקולי במכשיר כך שיכלול את הדואר הקולי סיסמה)."

instagram viewer

הוא הוסיף גם כי "למרות שהנתונים שאליהם מגיעים לאפליקציות הטפט הם בהחלט חשודים שמגיעים מאפליקציות טפט, אנחנו לא אומרים שהיישומים האלה זדוניים."

פוסט בבלוג מסביר את המתודולוגיה

ביום חמישי אחר הצהריים פרסם מהאפי הסבר ארוך בבלוג של Lookout, בו פירט את הקוד המדובר וחזר על עצמו שלמרות שהקוד המדובר חשוד, "אין שום עדות להתנהגות זדונית." וזו הבחנה חשובה ל עשה.

אז מה העניין הגדול? כך מסביר מה האפי את הדברים:

"יש קוד ביישומי הטפט הגישה לנתונים רגישים. חשוב לציין שלא כל היישומים שניגשים לנתונים רגישים אכן מעבירים אותם מהמכשיר. על מנת לראות איזה סוג של מידע יישומי הטפט מעבירים לאינטרנט, ניתחנו את תעבורת הרשת שנוצרה על ידי היישום. כאשר השתמשנו ביישום, בלטה במיוחד בקשה אחת, בקשת HTTP לא מוצפנת לשרת בשם 'imnet.us'. "

היזם מגיב

היינו בקשר עם מפתח יישומי הטפטים היום ושאלנו בדיוק איזה מידע האפליקציות אוספות ומדוע כל מידע יישלח לשרת. (ככל הנראה שהשרת בסין אינו רלוונטי).

אתה יכול לקרוא את התגובה כולה למטה, שרבים מהם ניתנים על ידי ההבהרה הקודמת של Lookout כי הודעת טקסט והיסטוריית הגלישה אכן לא היה נאסף. לגבי מה שנאסף, היזם אמר לנו את הדברים הבאים:

אספתי את גודל המסך כדי להחזיר טפט מתאים יותר לטלפון. יותר ויותר משתמשים שלחו לי דוא"ל ואמרו שהם כל כך אוהבים את אפליקציות הטפטים שלי, כי אפילו "רקע" לא יכול להתאים למסך הטלפון.
אספתי גם מזהה מכשיר, מספר טלפון ומזהה מנוי, אין לו קשר לנתוני המשתמש. יש כמה אפליקציות בשוק אנדרואיד עם התכונה המועדפת. משתמשים רבים מציעים שאספק את התכונה ולכן אשתמש בהזיהוי המכשיר כדי שיוכלו מועדף על הטפטים בצורה נוחה יותר, וחדש את המועדפים שלו לאחר איפוס המערכת או שינוי המסך מכשיר טלפון.

אז זה המקום בו אנו עומדים. וזה לא בהכרח דבר חדש עבור אנדרואיד. לאפליקציות יכולה להיות גישה לחלקים מהטלפון שלך שהם לא בהכרח זקוקים להם, אך ללא כוונת זדון. (שם לאחרונה אלה "X אחוזים מאפליקציות אנדרואיד יכולים להשיג את הנתונים האישיים שלך !!!" סיפורים הגיעו.) זה רק עניין של קידוד וכוונה, נכון? עם זאת, עליכם לשים לב לאזהרה שמתקבלת בכל פעם שמתקינים אפליקציה. הדוגמה הקודמת שלנו נכונה: אם נניח שמחשבון אמר שהוא צריך לראות את הודעות הטקסט שלי, הייתי דואג. הרבה. זוהי אפליקציה שלא מקודדת בצורה גרועה, או שהיא לא יכולה להועיל. כך או כך, אני לא רוצה את זה בטלפון שלי.

האם זה הכל FUD? כשחברת אבטחה אומרת שאנחנו צריכים להיזהר, אנחנו נזהרים - והעובדה שחברת אבטחה מרוויחה כסף בכדי למכור תוכנות אבטחה לא הולכת לאיבוד עלינו. אבל קח את הזמן וקרא שוב את הפוסט של מהאפי. וקרא שוב את תגובת היזם בהמשך.

מוסר ההשכל של הסיפור הוא אכפת למה שאתה מוריד, קורא כמה שאתה יכול ולשמור על הדברים. MaHaffey של Lookout אומר זאת גם, ומסתיים ב" בסך הכל, המטרה שלנו היא לעזור למשתמשים ומפתחים כאחד בכל הפלטפורמות הסלולריות כדי להיות אחראי וערנות בהבטחת נייד בטוח ניסיון."

אכן.

תגובת ג'קי