Atkārtosim: trešdienas vēlā vakarā (vai agrā ceturtdienas rītā) mēs ziņojām par stāstu publicēts vietnē Mobile Beat kas iznāca no Black Hat tiešsaistes drošības konferences. Konferencē Kevin MaHaffey, mobilās drošības firmas CTO Uzmanies, pastāstīja par izstrādātāja lietotni "jackeey, wallpaper", kas būtībā ir portāls fonu lejupielādei jūsu Android tālrunī. Stāsts stāstīja par “apšaubāma Android mobilo fonu lietotne, kas apkopo jūsu personas datus un nosūta tos uz noslēpumainu vietni Ķīnā (un) ir lejupielādēta miljoniem reižu”.
Mēs esam sazinājušies ar Lookout, kas atkārto, ka lietotnes, kaut arī tām ir aizdomas, ne vienmēr ir ļaunprātīgas. Mums ir arī atbilde no attiecīgā izstrādātāja. Pēc pārtraukuma atjauninājumi no abiem.
Verizon piedāvā Pixel 4a tikai par USD 10 mēnesī jaunās Neierobežotās līnijās
Lookout paskaidrojums
Agrā ceturtdienas rītā mēs saņēmām e-pastu no MaHaffey par lietotnēm “jackeey, wallpaper”. Viņš no Mobile Beat gabala precizēja sekojošo, kā arī mūsu stāstu:
"Izrādījās, ka mūsu analizētās fona tapetes lietojumprogrammas nosūtīja vairākus slepenus datus uz servera, ieskaitot ierīces tālruņa numuru, abonenta identifikatoru un pašlaik ieprogrammēto balss pastu numuru. Mūsu analizētās lietojumprogrammas nepiekļuva ierīces īsziņām, pārlūkošanas vēsturei vai balss pastam parole (ja vien lietotājs ierīcē nav manuāli ieprogrammējis balss pasta numuru, lai iekļautu balss pastu parole). "
Viņš arī piebilda: "Kaut arī dati, kuriem piekļūst tapetes lietotnes, noteikti ir aizdomīgi no tapetes lietotnēm, mēs nesakām, ka šīs lietojumprogrammas ir ļaunprātīgas."
Emuāra ziņojumā ir paskaidrota metodika
Ceturtdienas pēcpusdienā MaHaffey Lookout emuārā ievietoja garu skaidrojumu, sīki aprakstot attiecīgo kodu un atkārtojot lai gan attiecīgajam kodam ir aizdomas, "nav pierādījumu par ļaunprātīgu rīcību". Un tā ir būtiska atšķirība veidot.
Tātad, kas ir liels darījums? Lūk, kā MaHaffey izskaidro lietas:
"Tapetes lietojumprogrammās ir kods, kas piekļūst sensitīviem datiem. Ir svarīgi atzīmēt, ka ne visas lietojumprogrammas, kas piekļūst sensitīviem datiem, tos faktiski pārraida no ierīces. Lai redzētu, kādu informāciju fona tapetes lietojumprogrammas pārraida internetā, mēs analizējām lietojumprogrammas radīto tīkla trafiku. Kad mēs izmantojām lietojumprogrammu, īpaši izcēlās viens pieprasījums, nešifrēts HTTP pieprasījums serverim ar nosaukumu “imnet.us”. "
Izstrādātājs atbild
Mēs šodien esam sazinājušies ar fona tapetes lietojumprogrammu izstrādātāju un vaicāju, tieši kādu informāciju lietotnes apkopo un kāpēc jebkura informācija tiks nosūtīta serverim. (Visticamāk, ka serveris atrodas Ķīnā, nav nozīmes.)
Jūs varat izlasīt visu zemāk sniegto atbildi, no kuras lielu daļu apstrīd iepriekšējais Lookout paskaidrojums, ka īsziņas un pārlūkošanas vēsture patiešām ir Nebija savākti. Kas attiecas uz savākto, izstrādātājs mums teica:
Es savācu ekrāna izmēru, lai atgrieztu tālrunim piemērotākas fona tapetes. Arvien vairāk lietotāju man nosūtīja e-pastu, sakot, ka viņi tik ļoti mīl manas fona tapetes, jo pat tas “Fons” nav labi piemērots tālruņa ekrānam.
Es arī savācu ierīces ID, tālruņa numuru un abonenta ID, tam nav nekādas saistības ar lietotāja datiem. Android tirgū ir maz lietotņu, kurām ir izlase. Daudzi lietotāji iesaka man nodrošināt šo funkciju, lai es tos izmantotu ierīces identificēšanai, lai viņi to varētu Iecienīt fona tapetes ērtāk un atsākt savu izlasi pēc sistēmas atiestatīšanas vai tālruni.
Tātad, tur mēs stāvam. Un tas nav obligāti jauns priekš Android. Lietotnēm var būt piekļuve tām tālruņa daļām, kas tām nav obligāti vajadzīgas, bet bez ļaunprātīgas nodomāšanas. (Tur ir šie nesenie "X procents Android lietotņu var piekļūt jūsu personas datiem !!!" stāsti ir radušies.) Tas ir tikai kodēšanas un nodoma jautājums, vai ne? Tas nozīmē, ka jums jāpievērš uzmanība brīdinājumam, ko saņemat katru reizi, kad instalējat lietotni. Mūsu iepriekšējais piemērs izklausās patiess: ja, teiksim, kalkulators teica, ka tam ir nepieciešams redzēt manas īsziņas, es uztraucos. Daudz. Vai nu tā ir slikti kodēta lietotne, vai arī tā nav laba. Katrā ziņā es to nevēlos savā tālrunī.
Vai tas ir viss FUD? Kad apsardzes uzņēmums saka, ka mums jābūt piesardzīgiem, mēs esam piesardzīgi - un fakts, ka apsardzes uzņēmums nopelna naudu, pārdodot drošības programmatūru, mums nezaudē. Tomēr veltiet laiku un vēlreiz izlasiet MaHaffey ierakstu. Un zemāk vēlreiz izlasiet izstrādātāja atbildi.
Stāsta morāle ir prātā, ko lejupielādējat, lasāt, cik vien iespējams, un sekojat līdzi lietas. Arī Lookout's MaHaffey to saka, beidzot ar tekstu "Kopumā mūsu mērķis ir palīdzēt lietotājiem un izstrādātājiem būt atbildīgiem un modriem drošas mobilās ierīces nodrošināšanā visās mobilajās platformās pieredze."
Patiešām.
Džekija atbilde
Vai esat klausījies šīs nedēļas Android Central Podcast?
Katru nedēļu Android Central Podcast sniedz jums jaunākos tehnoloģiju jaunumus, analīzi un jaunākās ziņas ar pazīstamiem līdzzinātājiem un īpašajiem viesiem.
- Abonējiet Pocket Casts: Audio
- Abonēt Spotify: Audio
- Abonējiet iTunes: Audio
Mēs varam nopelnīt komisiju par pirkumiem, izmantojot mūsu saites. Uzzināt vairāk.
Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!
Vislabākie bezvadu austiņu korpusi ir ērti, izklausās lieliski, neizmaksā pārāk daudz un viegli ietilpst kabatā.
Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk.
Sony ir oficiāli apstiprinājis, ka strādā pie PlayStation 5. Šeit ir viss, ko mēs par to zinām līdz šim.
Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD.
Nokia 2.4 un Nokia 3.4 ir jaunākie papildinājumi HMD Global budžeta viedtālruņu klāstā. Tā kā tās abas ir Android One ierīces, tiek garantēts, ka tās saņems divus galvenos OS atjauninājumus un regulārus drošības atjauninājumus līdz trim gadiem.
Labākie portatīvie tūlītējo fotoattēlu printeri Android ierīcēm.
Jūs esat kustībā un veidojat atmiņas savā mobilajā ierīcē. Lai gan digitālais ir lielisks, kāpēc gan neizmēģināt padarīt šīs atmiņas nedaudz paliekošākas ar taustāmu fotoattēlu?