Innehållsförteckning:
Låt oss sammanfatta: Sen onsdag kväll (eller tidigt på torsdagsmorgonen) rapporterade vi om en berättelse publicerad på Mobile Beat som kom ut från Black Hat-säkerhetskonferensen online. Vid konferensen berättade Kevin MaHaffey, CTO på det mobila säkerhetsföretaget Lookout, om en app från utvecklaren "jackeey, wallpaper", som i princip är en portal för nedladdning av tapeter till din Android-telefon. Historien berättade om "en tveksam Android-tapetapp för Android som samlar in dina personuppgifter och skickar den till en mystisk webbplats i Kina, (och) har laddats ner miljoner gånger."
Vi har haft kontakt med Lookout - vilket upprepar att apparna, även om de misstänker, inte nödvändigtvis är skadliga. Vi har också svar från utvecklaren i fråga. Uppdateringar från båda, efter pausen.
Utkikens förtydligande
Tidigt på torsdag morgon fick vi ett e-postmeddelande från MaHaffey om apparna "jackeey, wallpaper". Han klargjorde följande från Mobile Beat-stycket, liksom vår berättelse:
"Tapeterapplikationerna som vi analyserade visade sig skicka flera delar av känslig data till en server, inklusive en enhets telefonnummer, abonnentidentifierare och för närvarande programmerad röstmeddelandenummer. De applikationer som vi analyserade fick inte tillgång till en enhets SMS, surfhistorik eller röstbrevlåda lösenord (såvida inte en användare manuellt programmerade röstmeddelandenumret på enheten för att inkludera röstbrevlösenordet)."
Han tillade också "medan uppgifterna som tapetapparna har tillgång till verkligen är misstänkta från tapeterappar, säger vi inte att dessa program är skadliga."
Blogginlägg förklarar metodiken
På torsdag eftermiddag publicerade MaHaffey en lång förklaring på Lookouts blogg, där han beskrev koden i fråga och upprepade att även om koden i fråga är misstänkt, "finns det inga bevis för skadligt beteende." Och det är en viktig skillnad att göra.
Så vad är den stora saken? Så här förklarar MaHaffey saker:
"Det finns kod i tapeterapplikationerna som får åtkomst till känslig data. Det är viktigt att notera att inte alla applikationer som har tillgång till känslig data överför den faktiskt från enheten. För att se vilken typ av information tapetapplikationerna överför till internet, vi analyserade nätverkstrafiken som genererats av applikationen. När vi använde applikationen stod särskilt en begäran fram, en okrypterad HTTP-begäran till en server med namnet 'imnet.us.'"
Utvecklaren svarar
Vi har haft kontakt med tapeterapplikationens utvecklare idag och frågat exakt vilken information apparna samlar in och varför all information skulle skickas till en server. (Att servern är i Kina är troligtvis irrelevant.)
Du kan läsa hela svaret nedan, varav en stor del gjordes av Lookouts tidigare förtydligande att textmeddelanden och surfhistoriken verkligen inte samlades in. När det gäller vad som samlades in berättade utvecklaren följande:
Jag samlade in skärmstorleken för att returnera mer lämplig tapeter för telefonen. Fler och fler användare e-postade mig och berättade att de älskar mina tapeterappar så mycket, för att till och med “Bakgrund” inte väl passar telefonens skärm.
Jag samlade också enhets-ID, telefonnummer och abonnent-ID, det har ingen relation med användardata. Det finns få appar på Android marknaden har favoritfunktionen. Många användare föreslår att jag ska tillhandahålla funktionen så att jag använder dessa för att identifiera enheten, så att de kan favoritera tapeterna mer bekvämt och återuppta hans favoriter efter att systemet har återställt eller bytt telefon.
Så det är där vi står. Och detta är inte nödvändigtvis en ny sak för Android. Appar kan ha åtkomst till delar av din telefon som de inte nödvändigtvis behöver, men utan ondska avsedda. (Det är där de senaste "X procenten av Android-appar kan få dina personliga data !!!" -historier har kommit ifrån.) Det är bara en fråga om kodning och avsikt, eller hur? Som sagt måste du vara uppmärksam på varningen du får varje gång du installerar en app. Vårt föregående exempel ringer sant: Om, säg, en miniräknare sa att den behövs för att se mina textmeddelanden, skulle jag oroa mig. Mycket. Det är antingen en dåligt kodad app, eller så är det inte bra. Hur som helst, jag vill inte ha det på min telefon.
Är detta allt FUD? När ett säkerhetsföretag säger att vi måste vara försiktiga är vi försiktiga - och det faktum att ett säkerhetsföretag tjänar sina pengar på att sälja säkerhetsprogramvara förlorar inte oss. Men ta dig tid och läs MaHaffey's inlägg igen. Och läs utvecklarens svar igen nedan.
Berättelsens moral är tänk på vad du laddar ner, läser så mycket du kan och håller dig uppdaterad. Lookouts MaHaffey säger det också, och slutar med "Sammantaget är vårt mål att hjälpa användare och utvecklare på alla mobilplattformar att vara ansvariga och vaksamma för att säkerställa en säker mobilupplevelse."
Verkligen.
Jackeey svar
