目录:
让我们回顾一下:星期三晚上(或星期四早上),我们报道了在Black Hat在线安全会议上发布的Mobile Beat上发布的一个故事。 在会议上,移动安全公司Lookout的首席技术官Kevin MaHaffey讲述了开发人员“jackeey,壁纸”的应用程序,它基本上是为您的Android手机下载壁纸的门户。 这个故事讲的是“一个有问题的Android手机壁纸应用程序,它收集你的个人数据并将其发送到中国的神秘网站,(和)已被下载数百万次。”
我们一直与Lookout保持联系 - 重申应用程序虽然可疑,但不一定是恶意的。 我们也得到了相关开发人员的回复。 休息后两者的更新。
Lookout的澄清
星期四早上,我们收到了MaHaffey关于“jackeey,壁纸”应用程序的电子邮件。 他从Mobile Beat片段以及我们的故事中澄清了以下内容:
“我们分析的壁纸应用程序证明可以向服务器发送几条敏感数据,包括设备的电话号码,用户标识符和当前编程的语音邮件号码。我们分析的应用程序没有访问设备的短信,浏览历史记录或语音邮件密码(除非用户手动编程设备上的语音信箱号码以包含语音信箱密码)。“
他还补充说:“虽然壁纸应用程序访问的数据肯定是来自壁纸应用程序的可疑,但我们并不是说这些应用程序是恶意的。”
博客文章解释了方法论
周四下午,MaHaffey在Lookout的博客上发布了一个冗长的解释,详细说明了有问题的代码,并重申虽然有问题的代码是可疑的,但“没有任何恶意行为的证据。” 这是一个重要的区别。
那有什么大不了的? 以下是MaHaffey如何解释事物:
“壁纸应用程序中有代码可以访问敏感数据。重要的是要注意,并非所有访问敏感数据的应用程序实际上都会将其传输出设备。为了查看壁纸应用程序向互联网传输的信息类型,我们分析了应用程序生成的网络流量。当我们使用该应用程序时,一个请求特别突出,一个未加密的HTTP请求到名为“imnet.us”的服务器。 “
开发者回应
我们今天一直与壁纸应用程序的开发人员联系,并询问应用程序收集的确切信息,以及为什么将任何信息发送到服务器。 (服务器在中国可能是无关紧要的。)
您可以阅读下面的整个回复,其中大部分内容都是由Lookout之前澄清的,因为文本消息和浏览历史记录确实 未被 收集。 至于收集的内容,开发人员告诉我们以下内容:
我收集了屏幕尺寸,以便为手机返回更合适的壁纸。 越来越多的用户通过电子邮件告诉我他们非常喜欢我的壁纸应用程序,因为即使是“背景”也不能很好地适应手机的屏幕。
我还收集了设备ID,电话号码和用户ID,它与用户数据没有关系。 Android市场上很少有应用程序具有收藏夹功能。 许多用户建议我应该提供这个功能,所以我使用这些来识别设备,这样他们就可以更方便地收藏壁纸,并在系统重置或更换手机后恢复他的收藏。
所以,这就是我们的立场。 对于Android来说,这不一定是新事物。 应用可以访问您不一定需要的手机部分,但不会产生任何恶意。 (这就是最近 “X%的Android应用程序可以获取您的个人数据!!!” 故事的来源。)这只是编码和意图的问题,对吧? 也就是说,您需要注意每次安装应用程序时收到的警告。 我们之前的例子是正确的:例如,如果计算器说它需要查看我的短信,我会担心。 很多。 这是一个编码不好的应用程序,或者它没有好处。 无论哪种方式,我都不希望它在我的手机上。
这都是FUD吗? 当一家安全公司表示我们需要保持警惕时,我们会保持警惕 - 而且安全公司出售安全软件的资金这一事实并没有丢失。 但是请花点时间再读一遍MaHaffey的帖子。 并在下面再次阅读开发人员的回复。
故事的寓意是记住你下载的内容,尽可能多地阅读,并掌握最重要的事情。 Lookout的MaHaffey也这样说,结尾于“总的来说,我们的目标是帮助所有移动平台上的用户和开发人员对确保安全的移动体验负责和警惕。”
确实。
Jackeey回复