Оглавление:
Подведем итоги. Поздно вечером в среду (или рано утром в четверг) мы сообщили об истории, опубликованной в Mobile Beat, которая вышла на конференции по онлайн-безопасности Black Hat. На конференции Кевин МаХаффи, технический директор компании по безопасности мобильных устройств Lookout, рассказал о приложении от разработчика «jackeey, wallpaper», которое в основном представляет собой портал для загрузки обоев для вашего телефона Android. История повествует о «сомнительном мобильном приложении для Android, которое собирает ваши личные данные и отправляет их на таинственный сайт в Китае (и) было загружено миллионы раз».
Мы связались с Lookout, который повторяет, что приложения, хотя и подозрительные, не обязательно являются вредоносными. У нас также есть ответ от разработчика. Обновления от обоих, после перерыва.
Разъяснение Lookout
Рано утром в четверг мы получили письмо от MaHaffey по поводу приложений "jackeey, wallpaper". Он разъяснил следующее из статьи Mobile Beat, а также нашу историю:
«Приложения для обработки обоев, которые мы проанализировали, доказали, что отправили на сервер несколько фрагментов конфиденциальных данных, включая номер телефона устройства, идентификатор абонента и запрограммированный в настоящее время номер голосовой почты. Приложения, которые мы проанализировали, не получили доступ к SMS-сообщениям устройства, истории просмотров или голосовой почте пароль (если пользователь вручную не запрограммировал номер голосовой почты на устройстве для включения пароля голосовой почты)."
Он также добавил, что «хотя данные, к которым обращаются приложения для обоев, определенно подозрительны из приложений для обоев, мы не говорим, что эти приложения являются вредоносными».
Сообщение в блоге объясняет методологию
В четверг днем MaHaffey опубликовал подробное объяснение в блоге Lookout, подробно описав соответствующий код и повторив, что, хотя рассматриваемый код является подозрительным, «нет никаких доказательств злонамеренного поведения». И это важное различие.
Так в чем же дело? Вот как MaHaffey объясняет вещи:
«В приложениях обоев есть код, который обращается к конфиденциальным данным. Важно отметить, что не все приложения, которые получают доступ к конфиденциальным данным, на самом деле передают их с устройства. Чтобы узнать, какую информацию приложения обоев передают в Интернет, мы проанализировал сетевой трафик, генерируемый приложением. Когда мы использовали приложение, особенно выделялся один запрос - незашифрованный HTTP-запрос к серверу с именем «imnet.us»."
Разработчик отвечает
Сегодня мы связались с разработчиком приложений для обоев и спросили, какую именно информацию собирают приложения, и почему любая информация будет отправлена на сервер. (То, что сервер находится в Китае, вероятно, не имеет значения.)
Вы можете прочитать весь ответ ниже, большая часть которого не соответствует действительности из-за предыдущих разъяснений Lookout о том, что текстовое сообщение и история просмотра действительно не были собраны. Что касается того, что было собрано, разработчик сказал нам следующее:
Я собрал размер экрана, чтобы вернуть более подходящие обои для телефона. Все больше и больше пользователей писали мне по электронной почте, говоря, что им очень нравятся мои приложения для обоев, потому что даже «Фон» не совсем подходит для экрана телефона.
Я также собрал идентификатор устройства, номер телефона и идентификатор абонента, он не имеет отношения к данным пользователя. Есть несколько приложений на Android Market, есть функция избранного. Многие пользователи предлагают, чтобы я предоставил эту функцию, чтобы я использовал их для идентификации устройства, чтобы они могли более удобно добавлять обои на рабочий стол и возобновлять его избранное после сброса системы или смены телефона.
Итак, вот где мы находимся. И это не обязательно новинка для Android. Приложения могут иметь доступ к тем частям вашего телефона, которые им не обязательно нужны, но без злого умысла (Вот откуда пришли эти недавние истории о том, как «X процентов приложений Android могут получить ваши личные данные !!!».) Это просто вопрос кодирования и намерения, верно? Тем не менее, вам нужно обратить внимание на предупреждение, которое вы получаете при каждой установке приложения. Наш предыдущий пример звучит правдоподобно: если, скажем, калькулятор сказал, что мне нужно увидеть мои текстовые сообщения, я бы волновался. Много. Это либо плохо закодированное приложение, либо ничего хорошего. В любом случае, я не хочу это на моем телефоне.
Это все FUD? Когда охранная компания говорит, что мы должны быть осторожны, мы насторожены - и тот факт, что охранная компания зарабатывает деньги, продавая программное обеспечение безопасности, не теряется для нас. Но не торопитесь и прочитайте пост MaHaffey снова. И прочитайте ответ разработчика снова ниже.
Мораль этой истории заключается в том, что вы загружаете, читаете столько, сколько можете, и следите за событиями. Так же говорит MaHaffey из Lookout, заканчивая словами: «В целом наша цель - помочь пользователям и разработчикам на всех мобильных платформах быть ответственными и бдительными в обеспечении безопасности мобильных приложений».
В самом деле.
Jackeey Response