La oss oppsummere: Sent onsdag kveld (eller tidlig torsdag morgen) rapporterte vi om en historie publisert på Mobile Beat som kom ut av Black Hat online sikkerhetskonferanse. På konferansen Kevin MaHaffey, CTO i mobil sikkerhetsfirma Se opp, fortalte om en app fra utvikleren "jackeey, wallpaper", som i utgangspunktet er en portal for nedlasting av bakgrunnsbilder til din Android-telefon. Historien fortalte historien om "en tvilsom Android-mobil tapetapp som samler inn dine personlige data og sender dem til et mystisk nettsted i Kina, (og) har blitt lastet ned millioner av ganger."
Vi har vært i kontakt med Lookout - som gjentar at appene, selv om de mistenker, ikke nødvendigvis er skadelige. Vi har også fått svar fra den aktuelle utvikleren. Oppdateringer fra begge, etter pausen.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Lookouts avklaring
Tidlig torsdag morgen mottok vi en e-post fra MaHaffey angående "jackeey, wallpaper" -appene. Han presiserte følgende fra Mobile Beat-stykket, samt historien vår:
"Bakgrunnsapplikasjonene vi analyserte viste seg å sende flere følsomme data til en serveren, inkludert enhetens telefonnummer, abonnent-ID og for øyeblikket programmerte telefonsvarer Nummer. Applikasjonene vi analyserte, fikk ikke tilgang til enhetens SMS-meldinger, nettleserlogg eller telefonsvarer passord (med mindre en bruker manuelt programmerte talepostnummeret på enheten til å inkludere telefonsvareren passord)."
Han la også til "mens dataene som tapetappene får tilgang til, absolutt er mistenkelige fra bakgrunnsapper, sier vi ikke at disse programmene er ondsinnede."
Blogginnlegg forklarer metodikken
Torsdag ettermiddag la MaHaffey ut en lang forklaring på Lookouts blogg, med detaljert kode og omtalt at mens den aktuelle koden er mistenksom, "er det ingen bevis for ondsinnet oppførsel." Og det er et viktig skille mellom gjøre.
Så hva er saken? Slik forklarer MaHaffey ting:
"Det er kode i bakgrunnsapplikasjonene som får tilgang til sensitive data. Det er viktig å merke seg at ikke alle applikasjoner som får tilgang til sensitive data, faktisk overfører dem fra enheten. For å se hva slags informasjon bakgrunnsapplikasjonene overfører til internett, analyserte vi nettverkstrafikken generert av applikasjonen. Da vi brukte applikasjonen, stod spesielt en forespørsel ut, en ukryptert HTTP-forespørsel til en server med navnet 'imnet.us'. "
Utvikleren svarer
Vi har vært i kontakt med utviklerne av bakgrunnsapplikasjonene i dag og spurte nøyaktig hvilken informasjon appene samler inn, og hvorfor informasjon vil bli sendt til en server. (At serveren er i Kina er sannsynligvis ikke relevant.)
Du kan lese hele svaret nedenfor, hvorav mye blir gjengitt av Lookouts forrige avklaring om at tekstmeldinger og nettleserlogg faktisk var ikke samlet. Når det gjelder det som ble samlet inn, fortalte utvikleren oss følgende:
Jeg samlet skjermstørrelsen for å gi mer passende bakgrunnsbilde til telefonen. Flere og flere brukere sendte meg en e-post og fortalte at de elsker tapetappene mine så mye, fordi selv "Bakgrunn" ikke passer godt til telefonens skjerm.
Jeg har også samlet inn enhets-ID, telefonnummer og abonnent-ID, det har ikke noe forhold til brukerdata. Det er få apper i Android Market har favorittfunksjonen. Mange brukere foreslår at jeg skal gi funksjonen, så jeg bruker disse til å identifisere enheten, slik at de kan favoritt bakgrunnsbilder mer praktisk, og fortsett favorittene etter at systemet er tilbakestilt eller endret telefonen.
Så det er der vi står. Og dette er ikke nødvendigvis en ny ting for Android. Apper kan ha tilgang til deler av telefonen de ikke nødvendigvis trenger, men uten ondskap ment. (Det er der disse siste "X prosent av Android-appene kan få tak i dine personlige data !!!" historier har kommet fra.) Det handler bare om koding og intensjon, ikke sant? Når det er sagt, må du ta hensyn til advarselen du får hver gang du installerer en app. Det forrige eksemplet vårt stemmer: Hvis for eksempel en kalkulator sa at den trengte å se tekstmeldingene mine, ville jeg bekymre meg. Mye. Det er enten en dårlig kodet app, eller det gjør ikke noe bra. Uansett vil jeg ikke ha det på telefonen min.
Er dette alt FUD? Når et sikkerhetsselskap sier at vi må være forsiktige, er vi skeptiske - og det faktum at et sikkerhetsselskap tjener penger på å selge sikkerhetsprogramvare, går ikke tapt for oss. Men ta deg god tid og les innlegget til MaHaffey igjen. Og les utviklerens svar igjen nedenfor.
Moralen i historien er å huske hva du laster ned, lese så mye du kan, og holde deg oppdatert. Lookout's MaHaffey sier det også, og slutter med "Samlet er vårt mål å hjelpe brukere og utviklere på tvers av alle mobile plattformer for å være ansvarlig og årvåken for å sikre en trygg mobil erfaring."
Faktisk.
Jackeey Svar
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett-smarttelefonserie. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
De beste bærbare øyeblikkelige fotoskrivere for Android-enheter.
Du er på farten og lager minner på mobilen din. Mens digital er flott, hvorfor ikke prøve å gjøre minnene litt mer permanente med et håndgripelig bilde?