Laten we het samenvatten: woensdagavond laat (of donderdagochtend vroeg) rapporteerden we over een verhaal gepubliceerd op Mobile Beat die voortkwam uit de online beveiligingsconferentie van Black Hat. Op de conferentie, Kevin MaHaffey, CTO bij mobiel beveiligingsbedrijf Pas op, verteld over een app van ontwikkelaar "jackeey, wallpaper", wat in feite een portaal is voor het downloaden van achtergronden voor je Android-telefoon. Het verhaal vertelde het verhaal van "een twijfelachtige Android mobiele wallpaper-app die uw persoonlijke gegevens verzamelt en deze naar een mysterieuze site in China stuurt, (en) miljoenen keren is gedownload."
We hebben contact gehad met Lookout - dat herhaalt dat de apps, hoewel ze verdacht zijn, niet per se kwaadaardig zijn. We hebben ook een reactie van de betreffende ontwikkelaar. Updates van beide, na de pauze.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
Lookout's verduidelijking
Donderdagochtend vroeg ontvingen we een e-mail van MaHaffey over de "jackeey, wallpaper" apps. Hij verduidelijkte het volgende uit het stuk Mobile Beat, evenals ons verhaal:
"De behangtoepassingen die we analyseerden, bleken verschillende gevoelige gegevens naar een server, inclusief het telefoonnummer van een apparaat, de abonnee-ID en de momenteel geprogrammeerde voicemail aantal. De applicaties die we hebben geanalyseerd, hadden geen toegang tot de sms-berichten, browsegeschiedenis of voicemail van een apparaat wachtwoord (tenzij een gebruiker het voicemailnummer handmatig op het apparaat heeft geprogrammeerd om de voicemail op te nemen wachtwoord)."
Hij voegde ook toe "hoewel de gegevens waartoe de wallpaper-apps toegang hebben, zeker verdacht zijn afkomstig van wallpaper-apps, zeggen we niet dat deze applicaties kwaadaardig zijn."
Blogpost legt de methodologie uit
Op donderdagmiddag plaatste MaHaffey een uitgebreide uitleg op de blog van Lookout, waarin de betreffende code werd beschreven en dat hoewel de code in kwestie verdacht is, "er geen bewijs is van kwaadaardig gedrag." En dat is een belangrijk onderscheid maken.
Dus wat is het probleem? Dit is hoe MaHaffey dingen uitlegt:
"Er zit code in de wallpaper-applicaties die toegang hebben tot gevoelige gegevens. Het is belangrijk op te merken dat niet alle applicaties die toegang hebben tot gevoelige gegevens, deze daadwerkelijk vanaf het apparaat verzenden. Om te zien wat voor soort informatie de wallpaper-applicaties naar internet verzenden, hebben we het netwerkverkeer geanalyseerd dat door de applicatie wordt gegenereerd. Toen we de applicatie gebruikten, viel in het bijzonder één verzoek op, een niet-versleuteld HTTP-verzoek aan een server met de naam 'imnet.us'. "
De ontwikkelaar reageert
We hebben vandaag contact gehad met de ontwikkelaar van de wallpaper-applicaties en hebben ons gevraagd welke informatie de apps precies verzamelen en waarom informatie naar een server zou worden gestuurd. (Dat de server zich in China bevindt, is waarschijnlijk niet relevant.)
U kunt het volledige antwoord hieronder lezen, waarvan een groot deel betwist wordt door de eerdere verduidelijking van Lookout dat sms-berichten en browsegeschiedenis inderdaad was niet verzameld. Wat betreft wat werd verzameld, vertelde de ontwikkelaar ons het volgende:
Ik heb de schermgrootte verzameld om meer geschikte achtergrond voor de telefoon te retourneren. Steeds meer gebruikers stuurden me een e-mail met de mededeling dat ze zo dol zijn op mijn wallpaper-apps, omdat zelfs ‘Achtergrond’ niet goed past bij het scherm van de telefoon.
Ik heb ook apparaat-ID, telefoonnummer en abonnee-ID verzameld, het heeft geen relatie met gebruikersgegevens. Er zijn maar weinig apps in Android Market die de favorietenfunctie hebben. Veel gebruikers suggereren dat ik de functie moet bieden, dus ik gebruik deze om het apparaat te identificeren, zodat ze dat kunnen favoriet de achtergronden gemakkelijker, en hervat zijn favorieten nadat het systeem opnieuw is ingesteld of de telefoon.
Dus daar staan we voor. En dit is niet per se iets nieuws voor Android. Apps kunnen toegang hebben tot delen van uw telefoon die ze niet per se nodig hebben, maar zonder kwaadwilligheid. (Dat is waar deze recente "X procent van de Android-apps kan uw persoonlijke gegevens achterhalen !!!" verhalen komen vandaan.) Het is gewoon een kwestie van codering en intentie, toch? Dat gezegd hebbende, moet u wel letten op de waarschuwing die u krijgt elke keer dat u een app installeert. Ons vorige voorbeeld klinkt waar: als, bijvoorbeeld, een rekenmachine zei dat hij mijn sms-berichten moest zien, zou ik me zorgen maken. Veel. Het is ofwel een slecht gecodeerde app, of het is niet goed. Hoe dan ook, ik wil het niet op mijn telefoon.
Is dit alles FUD? Wanneer een beveiligingsbedrijf zegt dat we op onze hoede moeten zijn, zijn we op onze hoede - en het feit dat een beveiligingsbedrijf zijn geld verdient door beveiligingssoftware te verkopen, is voor ons niet verloren. Maar neem de tijd en lees MaHaffey's post nog eens. En lees de reactie van de ontwikkelaar hieronder nog eens.
De moraal van het verhaal is: let op wat je downloadt, lees zoveel je kunt en blijf op de hoogte. MaHaffey van Lookout zegt dat ook, eindigend met "Over het algemeen is ons doel om gebruikers en ontwikkelaars te helpen gelijk op alle mobiele platforms om verantwoordelijk en waakzaam te zijn bij het waarborgen van een veilige mobiel ervaring."
Inderdaad.
Jackeey reactie
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
De beste draagbare instantfotoprinters voor Android-apparaten.
Je bent onderweg en maakt herinneringen op je mobiel. Hoewel digitaal geweldig is, waarom probeert u die herinneringen dan niet een beetje permanenter te maken met een tastbare foto?