Зміст:
Давайте резюмуємо: Пізно в середу ввечері (або рано вранці в четвер) ми повідомили про історію, опубліковану на сайті Mobile Beat, яка вийшла з онлайн-конференції з безпеки Чорної Шапочки. На конференції Кевін МаХаффі, представник технічної компанії мобільної охоронної фірми Lookout, розповів про додаток від розробника "jackeey, wallpaper", який в основному являє собою портал для завантаження шпалер для вашого телефону Android. Ця історія розповідала про "сумнівний додаток для мобільних шпалер Android, який збирає ваші особисті дані та надсилає їх на таємничий сайт у Китаї (та) був завантажений мільйони разів".
Ми контактували з Lookout - який ще раз підтверджує, що програми, хоча і підозрюються, не завжди є шкідливими. Ми також отримали відповідь відповідного розробника. Оновлення з обох, після перерви.
Роз'яснення спостереження
Рано вранці в четвер ми отримали електронний лист від MaHaffey щодо додатків "jackeey, wallpaper". Він пояснив наступне з твору Mobile Beat, а також з нашої історії:
"Програми, які ми аналізували, надіслали шпалери на сервер декілька фрагментів конфіденційних даних, включаючи номер телефону пристрою, ідентифікатор абонента та номер запрограмованої голосової пошти. Програми, які ми аналізували, не отримували доступу до SMS-повідомлень пристрою, історії перегляду чи голосової пошти. пароль (якщо користувач не вручну запрограмував номер голосової пошти на пристрої, щоб включити пароль голосової пошти)."
Він також додав, "хоча дані, до яких звертаються програми для шпалер, безумовно, є підозрілими від програм для шпалер, ми не говоримо, що ці програми шкідливі".
Блог пояснює методику
У четвер у другій половині дня MaHaffey розмістив тривале пояснення у своєму блозі Lookout, в якому детально описував цей код і повторив, що, хоча кодекс, про який йде мова, підозрюється, "немає жодних доказів шкідливої поведінки". І це важлива відмінність.
То в чому ж велика справа? Ось як MaHaffey пояснює речі:
"У програмах для шпалер є код, який отримує доступ до конфіденційних даних. Важливо зазначити, що не всі програми, які отримують доступ до конфіденційних даних, насправді передають їх з пристрою. Для того, щоб побачити, яку інформацію передають шпалери для Інтернету в Інтернет, ми проаналізували мережевий трафік, що генерується програмою. Коли ми використовували програму, зокрема, виділився один запит - незашифрований HTTP-запит на сервер під назвою "imnet.us.""
Розробник відповідає
Ми сьогодні контактували з розробником програм для шпалер і запитували, яку саме інформацію збирають програми та чому будь-яка інформація буде надіслана на сервер. (Те, що сервер знаходиться в Китаї, швидше за все, не має значення.)
Ви можете прочитати всю відповідь нижче, значну частину якої відображено в попередньому роз’ясненні Lookout про те, що текстові повідомлення та історія перегляду дійсно не були зібрані. Щодо того, що було зібрано, розробник сказав нам наступне:
Я зібрав розмір екрана, щоб повернути більш підходящі шпалери для телефону. Все більше та більше користувачів електронною поштою повідомляють мені, що вони так люблять мої шпалери, тому що навіть "Фон" не може добре відповідати екрану телефону.
Я також збирав ідентифікатор пристрою, номер телефону та ідентифікатор абонента, він не має відношення до даних користувача. На ринку Android є кілька додатків, які мають улюблену функцію. Багато користувачів пропонують мені надати цю функцію, тому я використовую їх для ідентифікації пристрою, щоб вони могли зручніше вподобати шпалери та відновити вибране після скидання системи або зміни телефону.
Отже, саме там ми стоїмо. І це не обов’язково нова річ для Android. Додатки можуть мати доступ до частин вашого телефону, які вони не обов'язково потрібні, але без зловмисного плану. (Ось звідки ці недавні історії "X відсотків додатків для Android можуть отримати ваші особисті дані !!!"). Це лише питання кодування та наміру, правда? При цьому вам потрібно звертати увагу на попередження, яке ви отримуєте щоразу, коли встановлюєте додаток. Наш попередній приклад звучить істинно: Якщо, скажімо, калькулятор сказав, що потрібно переглянути мої текстові повідомлення, я б хвилювався. Багато. Це або погано кодований додаток, або це не приносить користі. Так чи інакше, я не хочу цього на своєму телефоні.
Це все FUD? Коли охоронна компанія каже, що нам потрібно бути обережними, ми насторожено ставимося - і той факт, що охоронна компанія заробляє свої гроші, продаючи захисне програмне забезпечення, не втрачає нас. Але знайдіть час і знову прочитайте публікацію MaHaffey. І знову прочитайте відповідь розробника нижче.
Мораль історії полягає в тому, що ви завантажуєте, читайте, як тільки можете, і продовжуйте все над цим. Так само говорить MaHaffey Lookout, що закінчується на "Загалом, наша мета - допомогти користувачам та розробникам на всіх мобільних платформах бути відповідальними та пильними у забезпеченні безпечного мобільного досвіду".
Справді.
Відповідь Джекі
