Să recapitulăm: miercuri seara târziu (sau joi dimineața devreme), am raportat o poveste publicat la Mobile Beat care a ieșit din conferința de securitate online Black Hat. La conferință, Kevin MaHaffey, CTO la firma de securitate mobilă Atenție, a spus despre o aplicație de la dezvoltator „jackeey, tapet”, care este practic un portal pentru descărcarea imaginilor de fundal pentru telefonul dvs. Android. Povestea a povestit „o aplicație de fundal mobilă Android îndoielnică care colectează datele dvs. personale și le trimite către un site misterios din China (și) a fost descărcată de milioane de ori”.
Am fost în contact cu Lookout - care reiterează faptul că aplicațiile, deși sunt suspecte, nu sunt neapărat rău intenționate. De asemenea, avem un răspuns din partea dezvoltatorului în cauză. Actualizări de la ambele, după pauză.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
Clarificarea Lookout
Joi dimineața devreme, am primit un e-mail de la MaHaffey cu privire la aplicațiile „jackeey, tapet”. El a clarificat următoarele din piesa Mobile Beat, precum și povestea noastră:
"Aplicațiile de tapet pe care le-am analizat s-au dovedit a trimite mai multe bucăți de date sensibile către un server, inclusiv numărul de telefon al unui dispozitiv, identificatorul abonatului și mesageria vocală programată în prezent număr. Aplicațiile pe care le-am analizat nu au accesat mesajele SMS ale unui dispozitiv, istoricul de navigare sau mesageria vocală parola (cu excepția cazului în care un utilizator a programat manual numărul de mesagerie vocală de pe dispozitiv pentru a include mesageria vocală parola)."
El a adăugat, de asemenea, „în timp ce datele pe care accesează aplicațiile de tapet sunt cu siguranță suspecte provenind de la aplicațiile de tapet, nu spunem că aceste aplicații sunt dăunătoare”.
Postarea pe blog explică metodologia
Joi după-amiază, MaHaffey a postat o explicație lungă pe blogul Lookout, detaliind codul în cauză și reiterând că, deși codul în cauză este suspect, „nu există dovezi ale unui comportament rău intenționat”. Și aceasta este o distincție importantă pentru face.
Deci, care este marea afacere? Iată cum explică MaHaffey lucrurile:
„Există aplicații de tapet care accesează date sensibile. Este important să rețineți că nu toate aplicațiile care accesează date sensibile le transmit de fapt de pe dispozitiv. Pentru a vedea ce fel de informații transmit aplicațiile de tapet către internet, am analizat traficul de rețea generat de aplicație. Când am folosit aplicația, s-a remarcat în special o cerere, o cerere HTTP necriptată către un server numit „imnet.us”. "
Dezvoltatorul răspunde
Am fost astăzi în contact cu dezvoltatorul aplicațiilor de fundal și am întrebat exact ce informații colectează aplicațiile și de ce orice informație ar fi trimisă către un server. (Probabil că serverul se află în China este irelevant.)
Puteți citi întregul răspuns de mai jos, dintre care o mare parte este redactat prin clarificarea anterioară a Lookout că mesajul text și istoricul navigării într-adevăr nu a fost colectate. În ceea ce privește ceea ce a fost colectat, dezvoltatorul ne-a spus următoarele:
Am colectat dimensiunea ecranului pentru a returna imagini de fundal mai potrivite pentru telefon. Din ce în ce mai mulți utilizatori mi-au trimis prin e-mail spunându-mi că adoră atât de mult aplicațiile mele de tapet, deoarece chiar și „Fundalul” nu se potrivește bine ecranului telefonului.
De asemenea, am colectat ID-ul dispozitivului, numărul de telefon și ID-ul abonatului, nu are nicio relație cu datele utilizatorului. Există puține aplicații în Android Market, care are caracteristica preferată. Mulți utilizatori sugerează că ar trebui să furnizez caracteristica, astfel încât să le folosesc pentru a identifica dispozitivul, astfel încât să poată preferă imaginile de fundal mai convenabil și reia preferatele după resetarea sistemului sau schimbarea telefon.
Deci, acolo stăm. Și acest lucru nu este neapărat un lucru nou pentru Android. Aplicațiile pot avea acces la părți ale telefonului de care nu au neapărat nevoie, dar fără intenții de răutate. (Acolo sunt acestea recente „X procente din aplicațiile Android pot obține datele dvs. personale !!!” poveștile au venit.) Este doar o chestiune de codificare și intenție, nu? Acestea fiind spuse, trebuie să fiți atenți la avertismentul pe care îl primiți de fiecare dată când instalați o aplicație. Exemplul nostru anterior sună adevărat: Dacă, să zicem, un calculator a spus că trebuie să-mi vadă mesajele text, m-aș îngrijora. Mult. Este fie o aplicație slab codificată, fie nu este deloc utilă. Oricum ar fi, nu-l vreau pe telefonul meu.
Asta este tot FUD? Când o companie de securitate spune că trebuie să fim atenți, suntem atenți - și faptul că o companie de securitate își câștigă banii vândând software de securitate nu este pierdut pentru noi. Dar ia-ți timp și citește din nou postarea lui MaHaffey. Și citiți din nou răspunsul dezvoltatorului mai jos.
Morala poveștii este minte ceea ce descarci, citești cât poți și ține la curent cu lucrurile. MaHaffey din Lookout spune și el acest lucru, încheind cu „În general, obiectivul nostru este să ajutăm utilizatorii și dezvoltatorii deopotrivă pe toate platformele mobile, pentru a fi responsabil și vigilent în asigurarea unui dispozitiv mobil sigur experienţă."
Intr-adevar.
Răspunsul lui Jackeey
Ai ascultat Android Central Podcast din această săptămână?
În fiecare săptămână, Android Central Podcast vă aduce cele mai noi știri tehnologice, analize și recenzii, cu co-gazde familiare și invitați speciali.
- Abonați-vă în Pocket Casts: Audio
- Abonați-vă în Spotify: Audio
- Abonați-vă în iTunes: Audio
Este posibil să câștigăm un comision pentru achiziții folosind linkurile noastre. Aflați mai multe.
Acestea sunt cele mai bune căști fără fir pe care le puteți cumpăra la orice preț!
Cele mai bune căști fără fir sunt confortabile, sună grozav, nu costă prea mult și se încadrează ușor într-un buzunar.
Tot ce trebuie să știți despre PS5: data lansării, prețul și multe altele.
Sony a confirmat oficial că lucrează la PlayStation 5. Iată tot ce știm despre asta până acum.
Nokia lansează două noi telefoane Android One bugetare sub 200 USD.
Nokia 2.4 și Nokia 3.4 sunt cele mai recente adăugiri la gama de smartphone-uri bugetare HMD Global. Deoarece ambele sunt dispozitive Android One, li se garantează că primesc două actualizări majore ale sistemului de operare și actualizări regulate de securitate timp de până la trei ani.
Cele mai bune imprimante foto portabile instantanee pentru dispozitive Android.
Ești în mișcare și îți faci amintiri pe mobil. În timp ce digitalul este grozav, de ce să nu încercați să faceți aceste amintiri puțin mai permanente cu o fotografie tangibilă?