Podsumujmy: późnym wieczorem w środę (lub wczesnym rankiem w czwartek) relacjonowaliśmy historię opublikowane w Mobile Beat które wyszło z konferencji Black Hat dotyczącej bezpieczeństwa online. Na konferencji Kevin MaHaffey, CTO w firmie zajmującej się bezpieczeństwem urządzeń mobilnych Uważaj, opowiadał o aplikacji od programisty „jackeey, wallpaper”, która jest w zasadzie portalem do pobierania tapet na telefon z Androidem. Historia opowiada o „wątpliwej aplikacji mobilnej do tapet na Androida, która gromadzi Twoje dane osobowe i wysyła je do tajemniczej witryny w Chinach (i) została pobrana miliony razy”.
Skontaktowaliśmy się z firmą Lookout - która powtarza, że aplikacje, choć podejrzane, niekoniecznie są złośliwe. Otrzymaliśmy również odpowiedź od danego programisty. Aktualizacje z obu po przerwie.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Wyjaśnienie Lookouta
Wczesnym rankiem w czwartek otrzymaliśmy e-mail od MaHaffey dotyczący aplikacji „jackeey, tapety”. Wyjaśnił co następuje z artykułu Mobile Beat, a także z naszej historii:
„Aplikacje do tapet, które przeanalizowaliśmy, wykazały wysyłanie kilku wrażliwych danych do komputera serwer, w tym numer telefonu urządzenia, identyfikator abonenta i aktualnie zaprogramowaną pocztę głosową numer. Aplikacje, które przeanalizowaliśmy, nie miały dostępu do wiadomości SMS urządzenia, historii przeglądania ani poczty głosowej hasło (chyba że użytkownik ręcznie zaprogramował numer poczty głosowej na urządzeniu tak, aby zawierał pocztę głosową hasło)."
Dodał również, że „chociaż dane, do których uzyskują dostęp aplikacje do tapet, są z pewnością podejrzane i pochodzą z aplikacji tapetowych, nie twierdzimy, że te aplikacje są złośliwe”.
W poście na blogu wyjaśniono metodologię
W czwartek po południu MaHaffey zamieścił obszerne wyjaśnienie na blogu Lookout, szczegółowo opisując kod i powtarzając że chociaż kod, o którym mowa, jest podejrzany, „nie ma dowodów na złośliwe zachowanie”. I to jest ważne rozróżnienie robić.
Więc o co chodzi? Oto jak MaHaffey wyjaśnia rzeczy:
„W aplikacjach do tapet znajduje się kod, który umożliwia dostęp do poufnych danych. Należy pamiętać, że nie wszystkie aplikacje, które uzyskują dostęp do poufnych danych, w rzeczywistości przesyłają je z urządzenia. Aby zobaczyć, jakie informacje aplikacje tapetowe przesyłają do Internetu, przeanalizowaliśmy ruch sieciowy generowany przez aplikację. Kiedy korzystaliśmy z aplikacji, szczególnie wyróżniało się jedno żądanie, niezaszyfrowane żądanie HTTP skierowane do serwera o nazwie „imnet.us”. "
Deweloper odpowiada
Skontaktowaliśmy się dzisiaj z twórcą aplikacji do tapet i zapytaliśmy, jakie dokładnie informacje te aplikacje zbierają i dlaczego mają być wysyłane na serwer. (To, że serwer znajduje się w Chinach, prawdopodobnie nie ma znaczenia).
Możesz przeczytać całą odpowiedź poniżej, z których większość jest podważona przez poprzednie wyjaśnienie Lookout, że wiadomość tekstowa i historia przeglądania rzeczywiście nie był Zebrane. Co do tego, co zostało zebrane, deweloper powiedział nam, co następuje:
Zebrałem rozmiar ekranu, aby zwrócić bardziej odpowiednią tapetę dla telefonu. Coraz więcej użytkowników wysyłało mi e-maile z informacją, że tak bardzo kochają moje aplikacje do tapet, ponieważ nawet „Tło” nie pasuje do ekranu telefonu.
Zebrałem również identyfikator urządzenia, numer telefonu i identyfikator abonenta, nie ma to związku z danymi użytkownika. Istnieje kilka aplikacji na rynku Android, które mają funkcję ulubionych. Wielu użytkowników sugeruje, że powinienem udostępnić tę funkcję, więc używam ich do identyfikacji urządzenia, aby mogli ulubione tapety wygodniej i wznawiaj swoje ulubione po zresetowaniu systemu lub zmianie telefon.
Więc na tym właśnie stoimy. I to niekoniecznie jest nowością dla Androida. Aplikacje mogą mieć dostęp do części Twojego telefonu, których niekoniecznie potrzebują, ale bez zamiaru złośliwości. (To tam te ostatnie „X procent aplikacji na Androida może uzyskać dostęp do Twoich danych osobowych !!!” historie.) To tylko kwestia kodowania i zamiarów, prawda? To powiedziawszy, musisz zwracać uwagę na ostrzeżenie, które otrzymujesz za każdym razem, gdy instalujesz aplikację. Nasz poprzedni przykład brzmi prawdziwie: jeśli, powiedzmy, kalkulator powiedział, że musi zobaczyć moje wiadomości tekstowe, martwiłbym się. Dużo. Jest to albo źle zakodowana aplikacja, albo nic dobrego. Tak czy inaczej, nie chcę tego w moim telefonie.
Czy to wszystko FUD? Kiedy firma ochroniarska mówi, że musimy być ostrożni, jesteśmy ostrożni - a fakt, że firma ochroniarska zarabia na sprzedaży oprogramowania zabezpieczającego, nie jest dla nas stracony. Ale nie spiesz się i przeczytaj ponownie post MaHaffeya. Przeczytaj ponownie odpowiedź programisty poniżej.
Morał tej historii polega na tym, że pamiętaj o tym, co pobierasz, czytasz tyle, ile możesz, i na bieżąco. MaHaffey z Lookout również tak mówi, kończąc na „Ogólnie naszym celem jest pomoc użytkownikom i programistom na wszystkich platformach mobilnych, aby być odpowiedzialnym i czujnym w zapewnianiu bezpiecznego telefonu komórkowego doświadczenie."
W rzeczy samej.
Odpowiedź Jackeey
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Najlepsze przenośne natychmiastowe drukarki fotograficzne dla urządzeń z systemem Android.
Jesteś w ruchu i tworzysz wspomnienia na telefonie komórkowym. Chociaż cyfryzacja jest świetna, dlaczego nie spróbować utrwalić tych wspomnień za pomocą namacalnego zdjęcia?