Съдържание:
Нека да обобщим: Късна вечер в сряда (или рано в четвъртък сутрин), отчетохме за история, публикувана в Mobile Beat, която излезе от онлайн конференцията за сигурност на Black Hat. На конференцията Кевин МаХафи, технически директор в мобилната охранителна фирма Lookout, разказа за приложение от разработчика „jackeey, тапет“, което в основата си е портал за изтегляне на тапети за вашия Android телефон. Историята разказа приказката за „съмнително приложение за мобилни тапети за Android, което събира личните ви данни и го изпраща до мистериозен сайт в Китай, (и) е изтегляно милиони пъти“.
Бяхме в контакт с Lookout - който отново заявява, че приложенията, макар и да подозират, не са непременно злонамерени. Имаме отговор и от въпросния предприемач. Актуализации и от двете, след почивката.
Пояснение на Lookout
Рано в четвъртък сутринта получихме имейл от MaHaffey относно приложенията „jackeey, тапет“. Той изясни следното от парчето Mobile Beat, както и нашата история:
„Приложенията за тапети, които анализирахме, доказаха, че изпращат няколко части чувствителни данни до сървър, включително телефонен номер на устройството, идентификатор на абонати и номер на програмираната гласова поща. Приложенията, които анализирахме, нямаха достъп до SMS съобщения на устройството, история на сърфиране или гласова поща парола (освен ако потребителят ръчно не е програмирал номера на гласовата поща на устройството, за да включва паролата за гласова поща)."
Той също така добави, „докато данните, до които приложенията за тапети имат достъп, със сигурност са подозрителни, идващи от приложения за тапети, не казваме, че тези приложения са злонамерени“.
В публикацията в блога се обяснява методологията
В четвъртък следобед MaHaffey публикува продължително обяснение в блога на Lookout, в което подробно описва въпросния код и повтори, че макар въпросният код да е подозрителен, „няма данни за злонамерено поведение“. И това е важно разграничение.
И така, какво е голямото? Ето как MaHaffey обяснява нещата:
"В приложенията за тапети има код, който осъществява достъп до чувствителни данни. Важно е да се отбележи, че не всички приложения, които имат достъп до чувствителни данни, всъщност го предават извън устройството. За да видим каква информация информацията, която приложенията за тапет предават в интернет, ние анализира мрежовия трафик, генериран от приложението. Когато използвахме приложението, една заявка по-конкретно се открои, некриптирана HTTP заявка към сървър, наречен „imnet.us“."
Програмистът отговаря
Днес бяхме в контакт с разработчика на приложения за тапети и попитахме каква точно информация събират приложенията и защо всяка информация ще бъде изпратена до сървър. (Това, че сървърът е в Китай, вероятно е без значение.)
Можете да прочетете цялата реакция по-долу, голяма част от която е направена спорна чрез предишното пояснение на Lookout, че текстовото съобщение и историята на сърфиране наистина не са били събрани. Що се отнася до това, което беше събрано, разработчикът ни каза следното:
Събрах размера на екрана, за да върна по-подходящ тапет за телефона. Все повече и повече потребители ми изпращаха имейли, казвайки, че толкова обичат приложенията ми за тапети, защото дори „Background“ не може да е подходящ за екрана на телефона.
Събрах и идентификационния номер на устройството, телефонния номер и идентификационния номер на абоната, той няма връзка с потребителските данни. Има няколко приложения в Android пазара има функция за любими. Много потребители предполагат, че трябва да осигуря функцията, така че да ги използвам, за да идентифицирам устройството, така че да могат да предпочитат тапетите по-удобно и да възобновят любимите си, след като системата рестартира или смени телефона.
И така, там стоим. И това не е непременно ново нещо за Android. Приложенията могат да имат достъп до части от вашия телефон, от които не е задължително да се нуждаят, но без злоба. (Оттам идват тези скорошни „X процента от приложенията за Android, които могат да получат вашите лични данни !!!“). Това е въпрос на кодиране и намерения, нали? Въпреки това, трябва да обърнете внимание на предупреждението, което получавате всеки път, когато инсталирате приложение. Нашият предишен пример звучи истина: Ако, да речем, калкулатор каза, че е необходимо да вижда текстовите ми съобщения, бих се притеснил. Много. Това е или лошо кодирано приложение, или не е добро. Така или иначе не го искам на телефона си.
Всичко това ли е FUD? Когато една охранителна компания каже, че трябва да бъдем предпазливи, ние сме предпазливи - а фактът, че охранителна компания прави своите пари за продажба на софтуер за сигурност, не се губи от нас. Но отделете време и прочетете отново публикацията на MaHaffey. И прочетете отговора на програмиста отново по-долу.
Моралът на историята е да се съобразявате с това, което изтегляте, четете, колкото можете, и продължавайте да вършите нещата. MaHaffey на Lookout също казва, че завършва с „Като цяло нашата цел е да помогнем на потребителите и разработчиците да си приличат във всички мобилни платформи, за да бъдат отговорни и бдителни при осигуряването на безопасно мобилно изживяване“.
Наистина.
Отговор на Джеки
