Isi kandungan:
Mari kita recap: Malam Rabu lewat (atau awal pagi Khamis), kami melaporkan pada sebuah kisah yang diterbitkan di Mobile Beat yang keluar dari persidangan keselamatan online Black Hat. Pada sidang itu, Kevin MaHaffey, CTO di Lookout firma keselamatan mudah alih, memberitahu aplikasi daripada pembangun "jackeey, wallpaper, " yang pada dasarnya adalah portal untuk memuat turun kertas dinding untuk telefon Android anda. Kisah itu memberitahu kisah "aplikasi kertas dinding mudah alih Android yang dipersoalkan yang mengumpul data peribadi anda dan menghantarnya ke laman misteri di China, (dan) telah dimuat turun berjuta-juta kali."
Kami telah berhubung dengan Lookout - yang mengulangi bahawa aplikasi, ketika disyaki, tidak semestinya berniat jahat. Kami juga mempunyai respons daripada pemaju yang berkenaan. Kemas kini dari kedua-dua, selepas rehat.
Penjelasan Lookout
Awal pagi Khamis, kami menerima e-mel dari MaHaffey mengenai aplikasi "jackeey, wallpaper". Dia menjelaskan perkara berikut dari bahagian Mobile Beat, serta kisah kami:
"Aplikasi kertas dinding yang kami analisis terbukti menghantar beberapa keping data sensitif ke pelayan, termasuk nombor telefon peranti, pengenal pelanggan, dan saat ini diprogramkan nombor mel suara. Aplikasi kami dianalisa tidak mengakses mesej SMS, sejarah pelayaran, atau mel suara kata laluan (melainkan pengguna memrogramkan nombor mel suara secara manual pada peranti untuk memasukkan kata laluan mel suara)."
Beliau juga menambah "sementara data aplikasi kertas dinding yang mengakses pasti mencurigakan dari aplikasi kertas dinding, kami tidak mengatakan bahawa aplikasi ini berniat jahat."
Post blog menerangkan metodologi
Pada petang Khamis, MaHaffey mencatatkan penjelasan panjang di blog Lookout, memperincikan kod yang dipersoalkan dan mengulangi bahawa sementara kod yang dipersoalkan itu mengesyaki, "tidak ada bukti tingkah laku yang berniat jahat." Dan itulah perbezaan penting untuk dibuat.
Jadi apa masalahnya? Inilah caranya MaHaffey menerangkan perkara:
"Terdapat kod dalam aplikasi kertas dinding yang mengakses data sensitif. Penting untuk diperhatikan bahawa tidak semua aplikasi yang mengakses data sensitif sebenarnya menyebarkannya dari peranti. Untuk melihat apa jenis maklumat aplikasi kertas dinding yang dihantar ke internet, kami dianalisis trafik rangkaian yang dijana oleh aplikasi Apabila kita menggunakan aplikasi, satu permintaan khususnya menonjol, permintaan HTTP yang tidak disenarai untuk pelayan bernama 'imnet.us'."
Pemaju bertindak balas
Kami telah berhubung dengan pemaju aplikasi kertas dinding hari ini dan bertanya dengan tepat apa maklumat aplikasi dikumpul, dan mengapa apa-apa maklumat akan dihantar ke pelayan. (Bahawa pelayan di China mungkin tidak relevan).
Anda boleh membaca keseluruhan sambutan di bawah ini, sebahagian besarnya dijelaskan oleh penjelasan sebelumnya oleh Lookout bahawa mesej teks dan sejarah penyemakan memang tidak dikumpulkan. Bagi apa yang dikumpulkan, pemaju memberitahu kami perkara berikut:
Saya mengumpul saiz skrin untuk memulangkan kertas dinding yang lebih sesuai untuk telefon. Pengguna Lebih dan Lebih banyak menghantar e-mel kepada saya memberitahu mereka bahawa mereka suka aplikasi kertas dinding saya begitu banyak, kerana walaupun "Latar Belakang" tidak dapat menyesuaikan skrin telefon.
Saya juga mengumpul id peranti, nombor telefon dan id pelanggan, ia tidak mempunyai hubungan dengan data pengguna. Terdapat beberapa aplikasi di pasaran Android mempunyai ciri kegemaran. Ramai pengguna mencadangkan supaya saya menyediakan ciri ini supaya saya menggunakannya untuk mengenal pasti peranti itu, jadi mereka boleh memilih wallpaper kegemaran lebih mudah, dan meneruskan kegemarannya selepas menyusun semula sistem atau menukar telefon.
Jadi, di sinilah kita berdiri. Dan ini tidak semestinya sesuatu yang baru untuk Android. Apl boleh mempunyai akses kepada bahagian-bahagian telefon anda yang tidak semestinya diperlukan, tetapi tanpa niat jahat. (Di sinilah baru-baru ini "X peratus daripada aplikasi Android boleh diperolehi pada data peribadi anda !!!" cerita telah datang.) Ia hanya soal pengekodan dan niat, bukan? Yang berkata, anda perlu memberi perhatian kepada amaran yang anda peroleh setiap kali anda memasang aplikasi. Contoh terdahulu kami benar: Jika, katakan, kalkulator mengatakan ia perlu melihat mesej teks saya, saya bimbang. Banyak. Ia sama ada aplikasi berkod buruk, atau ia tidak sesuai. Sama ada, saya tidak mahu telefon saya.
Adakah ini semua FUD? Apabila sebuah syarikat keselamatan mengatakan kita perlu berhati-hati, kita berhati-hati - dan hakikat bahawa syarikat keselamatan membuat wang yang menjual perisian keselamatan tidak hilang kepada kita. Tetapi luangkan masa anda dan baca siaran MaHaffey lagi. Dan baca maklum balas pemaju sekali lagi di bawah.
Moral cerita itu adalah minda apa yang anda muat turun, baca seberapa banyak yang anda boleh, dan teruskan di atas perkara-perkara. Ma'affey Lookout berkata begitu juga, dengan berakhirnya "Secara keseluruhan, matlamat kami adalah untuk membantu pengguna dan pemaju sama di semua platform mudah alih untuk bertanggungjawab dan berhati-hati dalam memastikan pengalaman mudah alih yang selamat."
Sesungguhnya.
Jackeey Response
