Sisällysluettelo:
Tarkastellaan uudelleen: Keskiviikon myöhään illalla (tai varhain torstai-aamulla) kertoimme Mobile Beatissa julkaistusta tarinasta, joka tuli Black Blackin verkkoturvakonferenssissa. Konferenssissa Kevin MaHaffey, mobiiliturvayrityksen Lookout CTO, kertoi kehittäjän sovelluksesta "jackeey, wallpaper", joka on pohjimmiltaan portaali taustakuvien lataamiseksi Android-puhelimeesi. Tarina kertoi tarinan "kyseenalaisesta Android-mobiili taustakuvasovelluksesta, joka kerää henkilökohtaisia tietojasi ja lähettää ne salaperäiselle sivustolle Kiinassa (ja) on ladattu miljoonia kertoja."
Olemme olleet yhteydessä Lookoutiin - joka toistaa, että vaikka sovellukset epäillään olevan välttämättä haitallisia. Meillä on myös vastaus kyseiseltä kehittäjältä. Päivitykset molemmilta tauon jälkeen.
Näkökulman selvennys
Varhain torstai-aamuna saimme MaHaffeyltä sähköpostin koskien "jackeey, wallpaper" -sovelluksia. Hän selvitti seuraavan Mobile Beat -teoksesta samoin kuin tarinasi:
"Analysoimamme taustakuvasovellukset osoittivat lähettävän palvelimelle useita arkaluontoisia tietoja, kuten laitteen puhelinnumeron, tilaajatunnuksen ja tällä hetkellä ohjelmoidun vastaajapalvelunumeron. Analysoimamme sovellukset eivät päässeet laitteen tekstiviesteihin, selaushistoriaan tai vastaajaan. salasana (ellei käyttäjä ole ohjelmoinut laitteeseen vastaajapalvelun numeroa manuaalisesti sisällyttämään vastaajasalasanan)."
Hän lisäsi myös, että "kun taustakuva-sovellusten käyttämät tiedot ovat varmasti epäilyttäviä taustakuva-sovelluksista, emme sano näiden sovellusten olevan haitallisia".
Blogiposti selittää menetelmät
MaHaffey lähetti torstai-iltapäivänä pitkät selvitykset Lookoutin blogiin yksityiskohtaisesti kyseessä olevan koodin ja toisti, että vaikka kyseinen koodi on epäilty, "ei ole todisteita haitallisesta käytöksestä". Ja se on tärkeä ero.
Joten mikä iso asia? Näin MaHaffey selittää asiat:
"Taustakuvasovelluksissa on koodi, joka käyttää arkaluontoisia tietoja. On tärkeää huomata, että kaikki arkaluonteisia tietoja käyttävät sovellukset eivät tosiasiallisesti siirrä sitä laitteesta. Jotta voimme nähdä, millaisia tietoja taustakuvasovellukset välittävät Internetiin, me Kun käytimme sovellusta, erottui erityisesti yksi pyyntö, salaamaton HTTP-pyyntö palvelimelle nimeltä imnet.us."
Kehittäjä vastaa
Olemme olleet yhteydessä taustakuvasovellusten kehittäjään tänään ja kysyneet tarkalleen, mitä tietoja sovellukset keräävät ja miksi tiedot lähetetään palvelimelle. (Se, että palvelin on todennäköisesti Kiinassa, ei ole merkitystä.)
Voit lukea koko vastauksen alla, josta suuren osan tekevät Lookoutin aiempi selvennys, jonka mukaan tekstiviesti- ja selaushistoriaa ei todellakaan ole kerätty. Mitä kerättiin, kehittäjä kertoi meille seuraavan:
Keräsin näytön koon palauttaaksesi puhelimeen sopivamman taustakuvan. Yhä useammat käyttäjät lähettivät minulle sähköpostia sähköpostitse kertoen rakastavansa taustakuvasovelluksiani niin paljon, että edes "Tausta" ei sovi hyvin puhelimen näytölle.
Keräin myös laitteen tunnuksen, puhelinnumeron ja tilaajatunnuksen, sillä ei ole yhteyttä käyttäjän tietoihin. On vain vähän sovelluksia Android Market on suosikki ominaisuus. Monet käyttäjät ehdottavat, että minun pitäisi tarjota ominaisuus, joten käytän näitä laitteen tunnistamiseen, jotta he voivat suosikki taustakuvia ja jatkaa suosikkejaan järjestelmän palauttamisen tai puhelimen vaihtamisen jälkeen.
Joten siinä olemmekin. Ja tämä ei välttämättä ole uusi asia Androidille. Sovelluksilla voi olla pääsy puhelimen osiin, joita he eivät välttämättä tarvitse, mutta ilman pahoinpitelyä. (Sieltä nämä viimeaikaiset "X prosenttia Android-sovelluksista voi saada henkilötietosi !!!" -tarinat ovat tulleet.) Kyse on vain koodauksesta ja tarkoituksesta, eikö niin? Tästä huolimatta sinun on kiinnitettävä huomiota varoitukseen, joka saat joka kerta, kun asennat sovelluksen. Edellinen esimerkki soi totta: Jos esimerkiksi laskin sanoisi, että sen täytyy nähdä tekstiviestini, olen huolissani. Paljon. Se on joko huonosti koodattu sovellus tai jopa hyvää. Joko niin, en halua sitä puhelimeeni.
Onko tämä kaikki FUD? Kun turvallisuusyritys sanoo, että meidän on oltava varovaisia, olemme varovaisia - ja se, että turvallisuusyritys ansaitsee rahaa myymällä suojausohjelmistoja, ei ole kadonnut meille. Mutta vie aikaa ja lue MaHaffeyn viesti uudelleen. Ja lue kehittäjän vastaus uudelleen alla.
Tarinan moraali on mielessä se, mitä lataat, luet niin paljon kuin pystyt ja pidät asioiden päällä. Myös Lookoutin MaHaffey sanoo, että loppumme "Kaiken kaikkiaan tavoitteemme on auttaa käyttäjiä ja kehittäjiä kaikissa mobiiliympäristöissä olemaan vastuuntuntoisia ja valppaita turvallisen mobiilikokemuksen varmistamisessa."
Todellakin.
Jackeey-vastaus
![Google home mini [yli 6 kuukauden arvostelu]: Tämän älykkään kaiuttimen pitäisi olla sinun](https://img.androidermagazine.com/img/connected-home/715/google-home-mini-review.jpg "Google home mini [yli 6 kuukauden arvostelu]: Tämän älykkään kaiuttimen pitäisi olla sinun")
