สารบัญ:
เรามาสรุปกันดีกว่า: เมื่อคืนวันพุธ (หรือเช้าวันพฤหัสบดี) เรารายงานข่าวที่ตีพิมพ์ที่ Mobile Beat ซึ่งมาจากการประชุมความปลอดภัยออนไลน์ของ Black Hat ในการประชุม Kevin MaHaffey, CTO ที่ Lookout บริษัท รักษาความปลอดภัยมือถือได้บอกถึงแอพจากผู้พัฒนา "jackeey, wallpaper" ซึ่งโดยทั่วไปจะเป็นพอร์ทัลสำหรับดาวน์โหลดวอลล์เปเปอร์สำหรับโทรศัพท์ Android ของคุณ เรื่องราวดังกล่าวบอกเล่าเรื่องราวของ "แอพวอลเปเปอร์มือถือ Android ที่น่าสงสัยซึ่งรวบรวมข้อมูลส่วนบุคคลของคุณและส่งไปยังเว็บไซต์ลึกลับในประเทศจีน (และ) ถูกดาวน์โหลดนับล้านครั้ง"
เราได้รับการติดต่อกับ Lookout ซึ่งยืนยันว่าแอพในขณะที่สงสัยว่าไม่จำเป็นต้องเป็นอันตราย นอกจากนี้เรายังมีการตอบสนองจากนักพัฒนาที่เป็นปัญหา อัปเดตจากทั้งคู่หลังจากหยุดพัก
การชี้แจงของ Lookout
เช้าวันพฤหัสบดีเราได้รับอีเมลจาก MaHaffey เกี่ยวกับแอพ "jackeey, wallpaper" เขาชี้แจงต่อไปนี้จากชิ้นส่วน Mobile Beat รวมถึงเรื่องราวของเรา:
"แอปพลิเคชั่นวอลล์เปเปอร์ที่เราวิเคราะห์ได้พิสูจน์แล้วว่าส่งข้อมูลที่ละเอียดอ่อนหลายชิ้นไปยังเซิร์ฟเวอร์รวมถึงหมายเลขโทรศัพท์ของอุปกรณ์ตัวระบุสมาชิกและหมายเลขข้อความเสียงที่ตั้งโปรแกรมไว้ในปัจจุบันโปรแกรมที่เราวิเคราะห์ไม่สามารถเข้าถึงข้อความ รหัสผ่าน (เว้นแต่ผู้ใช้ตั้งค่าหมายเลขข้อความเสียงบนอุปกรณ์ด้วยตนเองเพื่อรวมรหัสผ่านข้อความเสียง)"
เขายังกล่าวเพิ่มเติมว่า "ในขณะที่ข้อมูลที่แอพวอลเปเปอร์กำลังเข้าถึงนั้นน่าสงสัยอย่างแน่นอนว่ามาจากแอพวอลเปเปอร์เราไม่ได้บอกว่าแอปพลิเคชันเหล่านี้เป็นอันตราย"
บล็อกโพสต์อธิบายวิธีการ
ในบ่ายวันพฤหัสที่ผ่านมา MaHaffey โพสต์คำอธิบายที่มีความยาวในบล็อกของ Lookout โดยให้รายละเอียดของรหัสที่เป็นปัญหาและย้ำว่าในขณะที่สงสัยว่าเป็นรหัสนั้น "ไม่มีหลักฐานของพฤติกรรมที่เป็นอันตราย" และนั่นคือความแตกต่างที่สำคัญที่จะทำให้
ดังนั้นเรื่องใหญ่คืออะไร นี่คือวิธีที่ MaHaffey อธิบายสิ่งต่าง ๆ:
"มีรหัสในแอปพลิเคชันรูปพื้นหลังที่เข้าถึงข้อมูลที่มีความสำคัญเป็นสิ่งสำคัญที่จะต้องทราบว่าไม่ใช่ทุกแอปพลิเคชันที่เข้าถึงข้อมูลที่สำคัญส่งออกจากอุปกรณ์จริง ๆ เพื่อที่จะดูว่าข้อมูลประเภทใด วิเคราะห์ปริมาณการใช้งานเครือข่ายที่สร้างโดยแอปพลิเคชันเมื่อเราใช้แอปพลิเคชันคำขอหนึ่งที่โดดเด่นโดยเฉพาะคำขอ HTTP ที่ไม่ได้เข้ารหัสไปยังเซิร์ฟเวอร์ที่ชื่อ 'imnet.us'"
นักพัฒนาตอบกลับ
เราได้รับการติดต่อจากผู้พัฒนาแอปพลิเคชั่นวอลล์เปเปอร์ในวันนี้และถามข้อมูลทั้งหมดที่แอพรวบรวมและทำไมข้อมูลใดจะถูกส่งไปยังเซิร์ฟเวอร์ (เซิร์ฟเวอร์ในจีนน่าจะไม่เกี่ยวข้อง)
คุณสามารถอ่านการตอบสนองทั้งหมดด้านล่างซึ่งส่วนใหญ่เป็นการแสดงผลโดยคำชี้แจงก่อนหน้าของ Lookout ว่าข้อความและประวัติการเรียกดู ไม่ได้ถูก รวบรวมไว้แน่นอน สำหรับสิ่งที่เก็บรวบรวมนักพัฒนาบอกเราต่อไปนี้:
ฉันรวบรวมขนาดหน้าจอเพื่อส่งคืนรูปพื้นหลังที่เหมาะสมสำหรับโทรศัพท์ ผู้ใช้มากขึ้นเรื่อย ๆ ส่งอีเมลฉันบอกว่าพวกเขารักแอพวอลเปเปอร์ของฉันมากเพราะแม้แต่ "พื้นหลัง" ก็ไม่เหมาะกับหน้าจอของโทรศัพท์
ฉันยังรวบรวม ID อุปกรณ์หมายเลขโทรศัพท์และรหัสสมาชิกมันไม่มีความสัมพันธ์กับข้อมูลผู้ใช้ มีแอพไม่กี่แอพในตลาด Android ที่มีคุณสมบัติรายการโปรด ผู้ใช้หลายคนแนะนำว่าฉันควรจัดเตรียมคุณสมบัติเพื่อให้ฉันใช้สิ่งเหล่านี้เพื่อระบุอุปกรณ์เพื่อให้พวกเขาสามารถชื่นชอบวอลล์เปเปอร์ได้สะดวกยิ่งขึ้นและกลับไปยังรายการโปรดของเขาหลังจากการรีเซ็ตระบบหรือเปลี่ยนโทรศัพท์
นั่นคือสิ่งที่เรายืนอยู่ และนี่ไม่ใช่สิ่งใหม่สำหรับ Android แอพสามารถเข้าถึงบางส่วนของโทรศัพท์ที่พวกเขาไม่จำเป็นต้องใช้ แต่ไม่มีเจตนาร้าย (นั่นคือสิ่งที่ "X ร้อยละของแอพ Android ล่าสุดสามารถรับข้อมูลส่วนบุคคลของคุณได้ที่นี่") มาจากเรื่อง) มันเป็นเรื่องของการเข้ารหัสและเจตนาใช่ไหม? ที่กล่าวว่าคุณจะต้องใส่ใจกับคำเตือนที่คุณได้รับทุกครั้งที่คุณติดตั้งแอพ ตัวอย่างก่อนหน้าของเราดังขึ้นจริง: ถ้าเครื่องคิดเลขบอกว่าจำเป็นต้องเห็นข้อความของฉันฉันต้องกังวล มาก. มันเป็นแอพที่มีรหัสไม่ดีหรือไม่ดี ทั้งสองวิธีฉันไม่ต้องการมันในโทรศัพท์ของฉัน
นี่คือ FUD ทั้งหมดหรือไม่ เมื่อ บริษัท รักษาความปลอดภัยบอกว่าเราต้องระวังเราก็ระวัง - และความจริงที่ว่า บริษัท รักษาความปลอดภัยสร้างรายได้จากการขายซอฟต์แวร์รักษาความปลอดภัยจะไม่สูญหายไปจากเรา แต่ใช้เวลาของคุณและอ่านโพสต์ของ MaHaffey อีกครั้ง และอ่านคำตอบของนักพัฒนาซอฟต์แวร์อีกครั้งด้านล่าง
คุณธรรมของเรื่องราวคือสิ่งที่คุณดาวน์โหลดอ่านให้มากที่สุดและทำสิ่งต่างๆ MaHaffey ของ Lookout กล่าวด้วยเช่นกันโดยลงท้ายด้วย "โดยรวมแล้วเป้าหมายของเราคือการช่วยเหลือผู้ใช้และนักพัฒนาทั่วทุกแพลตฟอร์มมือถือให้มีความรับผิดชอบและระมัดระวังในการสร้างประสบการณ์การใช้โทรศัพท์มือถือที่ปลอดภัย"
จริง
Jackeey Response
