Låt oss sammanfatta: sent på onsdagskvällen (eller tidigt torsdag morgon) rapporterade vi om en historia publicerad på Mobile Beat som kom ut från Black Hat online-säkerhetskonferens. Vid konferensen Kevin MaHaffey, CTO på mobil säkerhetsföretag Se upp, berättade om en app från utvecklaren "jackeey, wallpaper", som i grunden är en portal för nedladdning av bakgrundsbilder till din Android-telefon. Historien berättade historien om "en tvivelaktig Android-mobilapp för Android som samlar in dina personuppgifter och skickar den till en mystisk webbplats i Kina, (och) har laddats ner miljoner gånger."
Vi har varit i kontakt med Lookout - som upprepar att apparna, även om de misstänks, inte nödvändigtvis är skadliga. Vi har också svar från utvecklaren i fråga. Uppdateringar från båda, efter pausen.
Verizon erbjuder Pixel 4a för bara $ 10 / månad på nya obegränsade linjer
Lookout klargörande
Tidigt på torsdag morgon fick vi ett e-postmeddelande från MaHaffey angående apparna "jackeey, wallpaper". Han klargjorde följande från Mobile Beat-stycket, liksom vår historia:
"Bakgrundsapplikationerna vi analyserade visade sig skicka flera känsliga data till en server, inklusive enhetens telefonnummer, abonnentidentifierare och för närvarande programmerade röstmeddelande siffra. De applikationer som vi analyserade fick inte tillgång till en enhets SMS-meddelanden, webbhistorik eller röstmeddelande lösenord (såvida inte en användare manuellt programmerat röstmeddelandets nummer på enheten för att inkludera röstmeddelandet Lösenord)."
Han tillade också "medan data som tapetapparna har åtkomst säkert är misstänksamma från tapetappar, säger vi inte att dessa applikationer är skadliga."
Blogginlägg förklarar metoden
På torsdag eftermiddag publicerade MaHaffey en lång förklaring på Lookouts blogg, med detaljerad kod i fråga och upprepade att även om koden i fråga är misstänkt, "finns det inga bevis för skadligt beteende." Och det är en viktig åtskillnad till göra.
Så vad är det stora problemet? Så här förklarar MaHaffey saker:
"Det finns kod i tapetapplikationerna som får åtkomst till känslig data. Det är viktigt att notera att inte alla applikationer som har åtkomst till känslig data faktiskt överför dem från enheten. För att se vilken typ av information tapetapplikationerna överför till internet analyserade vi nätverkstrafiken som genererades av applikationen. När vi använde applikationen stod särskilt en begäran ut, en okrypterad HTTP-begäran till en server med namnet 'imnet.us'. "
Utvecklaren svarar
Vi har varit i kontakt med utvecklaren av tapetapplikationerna idag och frågat exakt vilken information apparna samlar in och varför någon information skulle skickas till en server. (Att servern finns i Kina är troligtvis inte relevant.)
Du kan läsa hela svaret nedan, varav mycket återspeglas genom Lookouts tidigare förtydligande att textmeddelande och webbhistorik verkligen var inte samlade in. När det gäller vad som samlades in berättade utvecklaren oss följande:
Jag samlade skärmstorleken för att ge mer lämplig bakgrundsbild till telefonen. Fler och fler användare mailade mig och berättade att de älskar mina tapetappar så mycket, för att även ”Bakgrund” inte passar bra på telefonens skärm.
Jag samlade också in enhets-id, telefonnummer och abonnent-id, det har ingen relation med användardata. Det finns få appar i Android-marknaden har favoritfunktionen. Många användare föreslår att jag ska tillhandahålla funktionen så att jag använder dessa för att identifiera enheten så att de kan favorit tapeterna mer bekvämt och återuppta sina favoriter efter att systemet har återställts eller ändrat telefon.
Så det är där vi står. Och det här är inte nödvändigtvis en ny sak för Android. Appar kan ha åtkomst till delar av din telefon som de inte nödvändigtvis behöver, men utan någon ondska. (Det är där dessa senaste "X procent av Android-appar kan hämta dina personuppgifter !!!" berättelser har kommit ifrån.) Det handlar bara om kodning och avsikt, eller hur? Med detta sagt måste du vara uppmärksam på varningen du får varje gång du installerar en app. Vårt tidigare exempel är sant: Om, till exempel, en miniräknare sa att den behövde se mina sms, skulle jag oroa mig. Mycket. Det är antingen en dåligt kodad app eller så fungerar det inte bra. Hur som helst vill jag inte ha det på min telefon.
Är allt detta FUD? När ett säkerhetsföretag säger att vi måste vara försiktiga är vi försiktiga - och det faktum att ett säkerhetsföretag tjänar sina pengar på att sälja säkerhetsprogramvara går inte förlorat för oss. Men ta dig tid och läs MaHaffeys inlägg igen. Och läs utvecklarens svar igen nedan.
Historiens moral är att tänka på vad du laddar ner, läsa så mycket du kan och hålla koll på saker och ting. Lookout's MaHaffey säger det också och slutar med "Sammantaget är vårt mål att hjälpa användare och utvecklare på alla mobila plattformar för att vara ansvarig och vaksam när det gäller att säkerställa en säker mobil erfarenhet."
Verkligen.
Jackeey Svar
Har du lyssnat på veckans Android Central Podcast?
Varje vecka ger Android Central Podcast dig de senaste tekniska nyheterna, analyserna och hot-take, med bekanta medvärdar och specialgäster.
- Prenumerera i Pocket Cast: Audio
- Prenumerera på Spotify: Audio
- Prenumerera i iTunes: Audio
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya budget Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
De bästa bärbara snabbfotoskrivarna för Android-enheter.
Du är på språng och gör minnen på din mobil. Medan digital är bra, varför inte försöka göra dessa minnen lite mer permanenta med ett konkret foto?