Sommario:
Ricapitolando: mercoledì sera tardi (o giovedì mattina presto), abbiamo riportato una storia pubblicata su Mobile Beat che è uscita dalla conferenza sulla sicurezza online di Black Hat. Alla conferenza, Kevin MaHaffey, CTO della società di sicurezza mobile Lookout, ha parlato di un'app dello sviluppatore "jackeey, wallpaper", che in pratica è un portale per il download di sfondi per il tuo telefono Android. La storia racconta la storia di "un'app discutibile di app per dispositivi mobili Android che raccoglie i tuoi dati personali e li invia a un sito misterioso in Cina, (e) è stato scaricato milioni di volte".
Siamo stati in contatto con Lookout, che ribadisce che le app, sebbene sospettate, non sono necessariamente dannose. Abbiamo anche una risposta dallo sviluppatore in questione. Aggiornamenti da entrambi, dopo la pausa.
Chiarimento dell'allerta
Giovedì mattina presto abbiamo ricevuto un'e-mail da MaHaffey riguardante le app "jackeey, wallpaper". Ha chiarito quanto segue dal pezzo Mobile Beat, così come la nostra storia:
"Le applicazioni per lo sfondo che abbiamo analizzato hanno dimostrato di inviare diversi dati sensibili a un server, inclusi il numero di telefono di un dispositivo, l'identificatore dell'abbonato e il numero di posta vocale attualmente programmato. Le applicazioni che abbiamo analizzato non hanno avuto accesso ai messaggi SMS, alla cronologia di navigazione o alla posta vocale di un dispositivo password (a meno che un utente non abbia programmato manualmente il numero di voicemail sul dispositivo per includere la password di voicemail)."
Ha anche aggiunto "mentre i dati a cui accedono le app per lo sfondo sono certamente sospetti provenienti dalle app per lo sfondo, non stiamo dicendo che queste applicazioni siano dannose".
Il post sul blog spiega la metodologia
Giovedì pomeriggio, MaHaffey ha pubblicato una lunga spiegazione sul blog di Lookout, descrivendo in dettaglio il codice in questione e ribadendo che mentre il codice in questione è sospetto, "non ci sono prove di comportamenti dannosi". E questa è una distinzione importante da fare.
Quindi qual è il grosso problema? Ecco come MaHaffey spiega le cose:
"Esiste un codice nelle applicazioni per gli sfondi che accede ai dati sensibili. È importante notare che non tutte le applicazioni che accedono ai dati sensibili li trasmettono effettivamente dal dispositivo. Per vedere che tipo di informazioni le applicazioni degli sfondi trasmettono a Internet, noi analizzato il traffico di rete generato dall'applicazione. Quando abbiamo utilizzato l'applicazione, in particolare si è distinta una richiesta, una richiesta HTTP non crittografata a un server chiamato "imnet.us"."
Lo sviluppatore risponde
Oggi siamo stati in contatto con lo sviluppatore delle applicazioni per gli sfondi e abbiamo chiesto esattamente quali informazioni le app raccolgono e perché tutte le informazioni verrebbero inviate a un server. (Che il server sia in Cina probabilmente è irrilevante.)
Puoi leggere l'intera risposta di seguito, molte delle quali sono rese discutibili dal precedente chiarimento di Lookout sul fatto che i messaggi di testo e la cronologia di navigazione non sono stati effettivamente raccolti. Per quanto riguarda ciò che è stato raccolto, lo sviluppatore ci ha detto quanto segue:
Ho raccolto le dimensioni dello schermo per restituire uno sfondo più adatto al telefono. Sempre più utenti mi hanno inviato un'e-mail per dirmi che amano così tanto le mie app per lo sfondo, perché anche lo "Sfondo" non si adatta bene allo schermo del telefono.
Ho anche raccolto ID dispositivo, numero di telefono e ID abbonato, non ha alcuna relazione con i dati dell'utente. Esistono poche app nel mercato Android con la funzione Preferiti. Molti utenti suggeriscono che dovrei fornire la funzione in modo da utilizzare questi per identificare il dispositivo, in modo che possano preferire gli sfondi più comodamente e riprendere i suoi preferiti dopo il ripristino del sistema o la modifica del telefono.
Quindi, ecco dove ci troviamo. E questa non è necessariamente una novità per Android. Le app possono accedere a parti del telefono di cui non hanno necessariamente bisogno, ma senza malizia. (Ecco da dove provengono le recenti storie "X percento delle app Android in grado di accedere ai tuoi dati personali !!!".) È solo una questione di codifica e intento, giusto? Detto questo, devi prestare attenzione all'avviso che ricevi ogni volta che installi un'app. Il nostro esempio precedente suona vero: se, diciamo, una calcolatrice dicesse che doveva vedere i miei messaggi di testo, mi preoccuperei. Un sacco. È un'app scarsamente codificata o non va bene. Ad ogni modo, non lo voglio sul mio telefono.
È tutto FUD? Quando una società di sicurezza dice che dobbiamo essere cauti, siamo cauti - e il fatto che una società di sicurezza faccia soldi vendendo software di sicurezza non ci si perde. Ma prenditi il tuo tempo e leggi di nuovo il post di MaHaffey. E leggi di nuovo la risposta dello sviluppatore di seguito.
La morale della storia è ciò che scarichi, leggi il più possibile e tieniti aggiornato. Lo dice anche MaHaffey di Lookout, che termina con "Nel complesso, il nostro obiettivo è aiutare utenti e sviluppatori su tutte le piattaforme mobili a essere responsabili e vigili nel garantire un'esperienza mobile sicura".
Infatti.
Risposta di Jackeey
