Преглед садржаја:
Да поновимо: Касно у среду увече (или рано у четвртак ујутро), извештавали смо о причи објављеној на Мобиле Беату која је изашла из интернет безбедносне конференције Блацк Хат. На конференцији је Кевин МаХаффеи, ЦТО у мобилној заштитној компанији Лоокоут, рекао за апликацију програмера "јацкееи, валлпапер", која је у основи портал за преузимање позадина за ваш Андроид телефон. Прича је причала о „упитној Андроид мобилној позадинској апликацији која сакупља ваше личне податке и шаље је на мистериозни сајт у Кини (и) је преузета милион пута“.
Били смо у контакту с Лоокоутом - који понавља да апликације, иако сумњају, нису нужно злонамјерне. Такође имамо одговор дотичног програмера. Ажурирања за оба, након паузе.
Појашњење видиковца
Ујутро рано у четвртак смо од МаХаффеи-а добили е-маил о апликацијама "јацкееи, валлпапер". Из дела Беат, као и наше приче, објаснио је следеће:
"Апликације за позадину које смо анализирали показали су да шаљу неколико делова осетљивих података на сервер, укључујући телефонски број уређаја, идентификатор претплатника и тренутно програмирани број говорне поште. Апликације које смо анализирали нису приступили СМС порукама уређаја, историји прегледа или говорне поште лозинка (осим ако корисник није ручно програмирао број говорне поште на уређају да укључи лозинку за говорну пошту)."
Такође је додао да „подаци из којих позадинске апликације приступају сигурно су сумњиви из апликација за позадине, не кажемо да су ове апликације злонамерне“.
У посту на блогу објашњава се методологија
У четвртак поподне, МаХаффеи је објавио дуготрајно објашњење на блогу Лоокоут, у којем је детаљно написао дотични код и поновио да, иако је дотични код сумњив, "нема доказа о злонамјерном понашању". И то је важно разликовање.
Па шта је велика ствар? Ево како МаХаффеи објашњава ствари:
"У апликацијама за позадине постоји код који приступа осетљивим подацима. Важно је напоменути да их све апликације које приступе осетљивим подацима заправо преносе са уређаја. Да бисмо видели какве информације позадинске апликације преносе на интернет, анализирао је мрежни промет који је генерисала апликација. Када смо користили апликацију, посебно се истакао један захтев, нешифрирани ХТТП захтев, на сервер назван 'имнет.ус.'"
Програмер одговара
Данас смо били у контакту са програмером апликација за позадинске програме и питали тачно које информације прикупљају апликације и зашто би било какве информације биле послате на сервер. (Да је сервер у Кини вероватно није важно.)
Цео одговор можете прочитати у даљем тексту, од чега је већи део донет под претходним појашњењем Лоокута да текстуална порука и историја прегледавања заиста нису прикупљени. Што се тиче прикупљеног, програмер нам је рекао следеће:
Скупио сам величину екрана да вратим погодније позадине за телефон. Све више и више корисника ме је е-поштом рекло да толико воле моје позадинске апликације, јер чак ни „Позадина“ не може добро да одговара екрану телефона.
Такође сам сакупљао ИД уређаја, телефонски број и ИД претплатника, нема везе са подацима корисника. Постоји неколико апликација на Андроид тржишту које имају функцију фаворита. Многи корисници предлажу да обезбедим ову функцију, па их користим за идентификацију уређаја, како би они повољно позадинирали позадине и наставили са његовим фаворитима након ресетовања система или промене телефона.
Дакле, ту стојимо. А ово није нужно нова ствар за Андроид. Апликације могу имати приступ деловима вашег телефона који им нису нужни, али без намере. (Отуда потичу ове недавне „Кс посто Андроид апликација које добијају ваше личне податке !!!“) То је само питање кодирања и намере, зар не? Уз то, морате обратити пажњу на упозорење које добијате сваки пут када инсталирате апликацију. Наш претходни пример звучи истинито: Ако би, рецимо, неки калкулатор рекао да је потребно да бисте видели моје текстуалне поруке, бринуо бих се. Много. То је или лоше кодирана апликација или није добра. У сваком случају, не желим то на свом телефону.
Да ли је ово све ФУД? Када компанија за обезбеђење каже да требамо бити опрезни, ми смо опрезни - а чињеница да заштитарска компанија зарађује свој новац продајом безбедносног софтвера није изгубљена на нама. Али, одвојите време и поново прочитајте МаХаффеи-јев пост. И прочитајте одговор програмера поново у наставку.
Морал приче је умишљати оно што преузмете, прочитајте колико можете и наставите са тим. ЛоокХ-ов МаХаффеи такође каже да завршава са „Генерално, наш циљ је да помогнемо корисницима и програмерима подједнако на свим мобилним платформама да буду одговорни и будни у обезбеђивању сигурног мобилног искуства“.
Заиста.
Јацкееи одговор
