Inhoudsopgave:
Laten we het samenvatten: late woensdagavond (of vroege donderdagochtend), hebben we verslag gedaan van een verhaal gepubliceerd op Mobile Beat dat uit de online veiligheidsconferentie van Black Hat kwam. Tijdens de conferentie vertelde Kevin MaHaffey, CTO van mobiel beveiligingsbedrijf Lookout, over een app van ontwikkelaar "Jackeey, wallpaper", wat in feite een portal is voor het downloaden van wallpapers voor je Android-telefoon. Het verhaal vertelde het verhaal van "een dubieuze Android mobiele wallpaper-app die uw persoonlijke gegevens verzamelt en naar een mysterieuze site in China stuurt (en) is miljoenen keren gedownload".
We hebben contact gehad met Lookout - dat herhaalt dat de apps, hoewel ze verdacht zijn, niet noodzakelijk schadelijk zijn. We hebben ook een reactie van de betreffende ontwikkelaar. Updates van beide, na de pauze.
Uitkijk opheldering
Donderdagochtend vroeg ontvingen we een e-mail van MaHaffey over de "jackeey, wallpaper" -apps. Hij verduidelijkte het volgende uit het stuk Mobile Beat, evenals ons verhaal:
"De behangapplicaties die we hebben geanalyseerd, bleken verschillende stukjes gevoelige gegevens naar een server te sturen, inclusief het telefoonnummer van een apparaat, abonnee-ID en momenteel geprogrammeerd voicemailnummer. De geanalyseerde applicaties hadden geen toegang tot de sms-berichten, browsegeschiedenis of voicemail van een apparaat wachtwoord (tenzij een gebruiker het voicemailnummer op het apparaat handmatig heeft geprogrammeerd om het voicemailwachtwoord op te nemen)."
Hij voegde eraan toe: "Hoewel de gegevens waartoe de wallpaper-apps toegang hebben, zeker verdacht zijn en afkomstig zijn van wallpaper-apps, zeggen we niet dat deze applicaties schadelijk zijn."
Blogbericht legt de methodiek uit
Op donderdagmiddag plaatste MaHaffey een uitgebreide uitleg op Lookout's blog, waarin de betreffende code werd gespecificeerd en herhaald dat, hoewel de betreffende code verdacht is, "er geen bewijs is van kwaadaardig gedrag." En dat is een belangrijk onderscheid om te maken.
Dus wat is het probleem? Hier is hoe MaHaffey dingen verklaart:
"Er is code in de wallpaper-applicaties die toegang heeft tot gevoelige gegevens. Het is belangrijk op te merken dat niet alle applicaties die toegang hebben tot gevoelige data, deze daadwerkelijk van het apparaat verzenden. Om te zien wat voor soort informatie de wallpaper-applicaties naar het internet verzenden, analyseerde het netwerkverkeer gegenereerd door de applicatie. Toen we de applicatie gebruikten, viel vooral één verzoek op, een niet-versleuteld HTTP-verzoek aan een server met de naam 'imnet.us'."
De ontwikkelaar reageert
We hebben vandaag contact gehad met de ontwikkelaar van de wallpaper-applicaties en hebben precies gevraagd welke informatie de apps verzamelen en waarom informatie naar een server zou worden verzonden. (Dat de server zich in China bevindt, is waarschijnlijk niet relevant.)
U kunt de hele reactie hieronder lezen, waarvan een groot deel wordt terugverwoord door de vorige verduidelijking van Lookout dat sms en browsegeschiedenis inderdaad niet zijn verzameld. Wat betreft wat werd verzameld, vertelde de ontwikkelaar ons het volgende:
Ik heb de schermgrootte verzameld om meer geschikte achtergronden voor de telefoon te retourneren. Steeds meer gebruikers e-mailden me dat ze zo dol waren op mijn achtergrond-apps, omdat zelfs "Achtergrond" niet goed bij het scherm van de telefoon past.
Ik heb ook apparaat-ID, telefoonnummer en abonnee-ID verzameld, het heeft geen relatie met gebruikersgegevens. Er zijn maar weinig apps in Android Market heeft de favorietenfunctie. Veel gebruikers stellen voor dat ik de functie moet aanbieden, zodat ik deze gebruik om het apparaat te identificeren, zodat ze de achtergronden gemakkelijker kunnen favoriet maken en zijn favorieten kunnen hervatten nadat het systeem de telefoon opnieuw heeft ingesteld of gewijzigd.
Dus daar staan we voor. En dit is niet noodzakelijk iets nieuws voor Android. Apps kunnen toegang hebben tot delen van uw telefoon die ze niet noodzakelijkerwijs nodig hebben, maar zonder opzet. (Dat is waar deze recente "X procent van Android-apps aan uw persoonlijke gegevens kunnen komen !!!" verhalen zijn afkomstig.) Het is gewoon een kwestie van codering en intentie, toch? Dat gezegd hebbende, moet je wel letten op de waarschuwing die je krijgt elke keer dat je een app installeert. Ons vorige voorbeeld klinkt waar: als een rekenmachine zegt dat hij mijn sms-berichten moest zien, zou ik me zorgen maken. Veel. Het is een slecht gecodeerde app, of het is niet goed. Hoe dan ook, ik wil het niet op mijn telefoon.
Is dit allemaal FUD? Wanneer een beveiligingsbedrijf zegt dat we op onze hoede moeten zijn, zijn we op onze hoede - en het feit dat een beveiligingsbedrijf zijn geld verdient met het verkopen van beveiligingssoftware gaat niet verloren. Maar neem je tijd en lees MaHaffey's bericht opnieuw. En lees de reactie van de ontwikkelaar hieronder opnieuw.
De moraal van het verhaal is dat je moet onthouden wat je downloadt, zoveel leest als je kunt en de dingen op de voet kunt volgen. Lookout's MaHaffey zegt dat ook, eindigend met "Al met al is het ons doel om gebruikers en ontwikkelaars op alle mobiele platforms te helpen verantwoordelijk en waakzaam te zijn bij het garanderen van een veilige mobiele ervaring."
Inderdaad.
Jackeey-reactie
