Taula de continguts:
Recopilem-ho: tard a la nit del dimecres (o a primera hora del dijous al matí), vam informar sobre una història publicada a Mobile Beat que va sortir de la conferència de seguretat en línia de Black Hat. A la conferència, Kevin MaHaffey, CTO de la signatura de seguretat mòbil Lookout, va parlar d'una aplicació del desenvolupador "jackeey, wallpaper", que bàsicament és un portal per descarregar fons de pantalla per al vostre telèfon Android. La història va explicar la història d '"una aplicació de fons de pantalla mòbil per a Android qüestionable que recopila les vostres dades personals i les envia a un lloc misteriós a la Xina (i) ha estat descarregada milions de vegades."
Hem estat en contacte amb Lookout, que reitera que les aplicacions, tot i ser sospitoses, no són necessàriament malicioses. També hem tingut una resposta del desenvolupador en qüestió. Actualitzacions de tots dos, després de la pausa.
L’aclariment de Lookout
Diumenge al matí, hem rebut un missatge de correu electrònic de MaHaffey sobre les aplicacions "jackeey, wallpaper". Va aclarir el següent de la peça Mobile Beat, així com la nostra història:
"Les aplicacions de fons de pantalla que hem analitzat han demostrat enviar diverses dades de dades sensibles a un servidor, incloent el número de telèfon del dispositiu, l'identificador de subscriptor i el número de correu de veu programat actualment. Les aplicacions que hem analitzat no accedien als missatges SMS del dispositiu, a l'historial de navegació o al correu de veu. contrasenya (tret que un usuari programi manualment el número de correu de veu del dispositiu per incloure la contrasenya de la bústia de veu) ".
Va afegir, a més, que "si bé les dades que accedeixen a les aplicacions de fons de pantalla són certament sospitoses provinents d'aplicacions de fons de pantalla, no estem dient que aquestes aplicacions siguin malicioses".
La publicació al bloc explica la metodologia
Dijous a la tarda, MaHaffey va publicar una llarga explicació al bloc de Lookout, detallant el codi en qüestió i reiterant que, encara que el codi en qüestió sigui sospitós, "no hi ha proves de comportament maliciós". I això és una distinció important a fer.
Quin és el gran problema? Aquí és com MaHaffey explica les coses:
"Hi ha un codi a les aplicacions de fons de pantalla que accedeix a dades sensibles. És important tenir en compte que no totes les aplicacions que accedeixen a dades sensibles realment les transmeten fora del dispositiu. Per veure quina informació d'informació transmeten les aplicacions de fons de pantalla a Internet, nosaltres va analitzar el trànsit de xarxa generat per l’aplicació. Quan vam utilitzar l’aplicació, es va destacar una sol·licitud en concret, una sol·licitud HTTP no xifrada a un servidor anomenat "imnet.us"."
El desenvolupador respon
Avui hem estat en contacte amb el desenvolupador de les aplicacions de fons de pantalla i hem preguntat exactament quina informació recopilen les aplicacions i per què s’enviaria qualsevol informació a un servidor. (És probable que el servidor a la Xina és irrellevant.)
Podeu llegir la resposta sencera a continuació, bona part de la qual es proporciona la matèria prèvia de l'aclariment de que el missatge de text i l'historial de navegació realment no es van recollir. Pel que fa a la recollida, el desenvolupador ens va dir el següent:
Vaig recollir la mida de la pantalla per retornar fons de pantalla més adequat per al telèfon. Cada cop són més els usuaris que em van enviar per correu electrònic dient-los que els encanten les aplicacions de fons de pantalla, perquè fins i tot que "Background" no pot adequar-se bé a la pantalla del telèfon.
També he recollit l'identificador del dispositiu, el número de telèfon i l'identificador de subscriptor, no té cap relació amb les dades de l'usuari. Hi ha poques aplicacions al mercat d'Android que té la característica favorita. Molts usuaris suggereixen que he de proporcionar la funció per utilitzar-los per identificar el dispositiu, de manera que puguin preferir els fons de pantalla amb més comoditat i reprendre els seus favorits després de restablir el sistema o canviar el telèfon.
Llavors, és on estem. I no és necessàriament una cosa nova per a Android. Les aplicacions poden tenir accés a parts del telèfon que no necessiten necessàriament, però sense intenció de malícia. (És per aquí que han arribat aquestes recents "X per cent de les aplicacions d'Android a les vostres dades personals !!!".) És només una qüestió de codificació i intenció, oi? Dit això, heu de parar atenció a l'avís que rebeu cada vegada que instal·leu una aplicació. El nostre exemple anterior sona veritat: si, per exemple, una calculadora deia que necessitava veure els meus missatges de text, em preocuparia. Molt. O bé és una aplicació mal codificada o bé no serveix per res. De qualsevol forma, no ho vull al meu telèfon.
Tot això és FUD? Quan una empresa de seguretat diu que ens hem de preocupar, ens preocupem, i el fet que una companyia de seguretat faci diners que vengui programari de seguretat no ens perdi. Però pren el seu temps i torna a llegir la publicació de MaHaffey. I llegiu la resposta del desenvolupador de nou més avall.
La moral de la història és que tingueu en compte el que descarregueu, llegiu tot el que pugueu i sigueu al damunt de les coses. MaHaffey de Lookout també ho diu, finalitzant amb "En general, el nostre objectiu és ajudar els usuaris i desenvolupadors de totes les plataformes mòbils a ser responsables i vigilants en assegurar una experiència mòbil segura."
En efecte.
Resposta de Jackeey
