Logo el.androidermagazine.com
Logo el.androidermagazine.com
» Νέα
Νέα

Στοιχεία επιχείρησης ασφάλειας σχετικά με την προστασία της ιδιωτικής ζωής. ο προγραμματιστής μας λέει την πλευρά της ιστορίας

Στοιχεία επιχείρησης ασφάλειας σχετικά με την προστασία της ιδιωτικής ζωής. ο προγραμματιστής μας λέει την πλευρά της ιστορίας

Πίνακας περιεχομένων:

Anonim

Ας ανακεφαλαιώσουμε: Τελευταία Τετάρτη το βράδυ (ή νωρίς το πρωί της Πέμπτης), αναφέρθηκε σε μια ιστορία που δημοσιεύθηκε στο Mobile Beat και βγήκε από τη διάσκεψη ασφάλειας Black Hat. Στο συνέδριο, ο Kevin MaHaffey, CTO στην εταιρία κινητής τηλεφωνίας Lookout, μίλησε για μια εφαρμογή από τον προγραμματιστή "jackeey, wallpaper", η οποία βασικά είναι μια πύλη για τη λήψη wallpapers για το κινητό σας Android. Η ιστορία είπε την ιστορία "μιας αμφισβητήσιμης εφαρμογής Android app wallpaper που συλλέγει τα προσωπικά σας δεδομένα και τα στέλνει σε έναν μυστηριώδη ιστότοπο στην Κίνα (και) έχει κατεβάσει εκατομμύρια φορές".

Έχουμε έρθει σε επαφή με το Lookout - το οποίο επαναλαμβάνει ότι οι εφαρμογές, ενώ είναι ύποπτες, δεν είναι απαραιτήτως κακόβουλες. Έχουμε επίσης μια απάντηση από τον εν λόγω προγραμματιστή. Ενημερώσεις και από τις δύο, μετά το διάλειμμα.

Η διευκρίνιση του Lookout

Στις αρχές της Πέμπτης το πρωί, λάβαμε ένα ηλεκτρονικό μήνυμα από τον MaHaffey σχετικά με τις εφαρμογές "jackeey, wallpaper". Διευκρίνισε τα εξής από το κομμάτι του Mobile Beat, καθώς και την ιστορία μας:

"Οι εφαρμογές ταπετσαρίας που αναλύσαμε αποδείχθηκαν να στέλνουν αρκετά κομμάτια ευαίσθητων δεδομένων σε ένα διακομιστή, συμπεριλαμβανομένου ενός αριθμού τηλεφώνου μιας συσκευής, ενός αναγνωριστικού συνδρομητή και ενός προγραμματισμένου αριθμού τηλεφωνητή. Οι εφαρμογές που αναλύσαμε δεν έχουν πρόσβαση σε μηνύματα SMS μιας συσκευής, ιστορικό περιήγησης ή φωνητικό ταχυδρομείο κωδικό πρόσβασης (εκτός εάν ο χρήστης έχει προγραμματίσει με μη αυτόματο τρόπο τον αριθμό του τηλεφωνητή στη συσκευή για να συμπεριλάβει τον κωδικό πρόσβασης του τηλεφωνητή)."

Πρόσθεσε επίσης ότι "ενώ τα δεδομένα που έχουν πρόσβαση οι εφαρμογές ταπετσαρίας είναι σίγουρα ύποπτες από τις εφαρμογές ταπετσαρίας, δεν λέμε ότι αυτές οι εφαρμογές είναι κακόβουλες".

Η δημοσίευση στο blog εξηγεί τη μεθοδολογία

Το απόγευμα της Πέμπτης, ο MaHaffey δημοσίευσε μια μακρά εξήγηση στο blog του Lookout, περιγράφοντας λεπτομερώς τον εν λόγω κώδικα και επαναλαμβάνοντας ότι ενώ ο εν λόγω κώδικας είναι ύποπτος, "δεν υπάρχουν στοιχεία κακόβουλων συμπεριφορών". Και αυτό είναι μια σημαντική διάκριση που πρέπει να γίνει.

Έτσι ποια είναι η μεγάλη υπόθεση; Εδώ είναι το πώς ο MaHaffey εξηγεί τα πράγματα:

"Υπάρχει κώδικας στις εφαρμογές ταπετσαρίας που έχουν πρόσβαση σε ευαίσθητα δεδομένα.Είναι σημαντικό να σημειώσουμε ότι δεν είναι όλες οι εφαρμογές που έχουν πρόσβαση σε ευαίσθητα δεδομένα να το μεταδίδουν πραγματικά από τη συσκευή.Για να δούμε τι είδους πληροφορίες μεταδίδουν οι εφαρμογές ταπετσαριών στο διαδίκτυο, ανέλυσε την κυκλοφορία δικτύου που δημιουργήθηκε από την εφαρμογή. Όταν χρησιμοποιήσαμε την εφαρμογή, ένα αίτημα ειδικότερα ξεχώρισε, ένα μη κρυπτογραφημένο αίτημα HTTP σε ένα διακομιστή που ονομάζεται 'imnet.us'."

Ο προγραμματιστής αποκρίνεται

Είμαστε σήμερα σε επαφή με τον προγραμματιστή των εφαρμογών ταπετσαρίας σήμερα και ρωτήσαμε ακριβώς ποιες πληροφορίες συλλέγουν οι εφαρμογές και γιατί οι πληροφορίες θα αποστέλλονται σε ένα διακομιστή. (Ότι ο διακομιστής είναι στην Κίνα πιθανόν να είναι άσχετος.)

Μπορείτε να διαβάσετε ολόκληρη την παρακάτω απάντηση, πολλά από τα οποία έχουν αποσταλεί από την προηγούμενη διευκρίνιση του Lookout ότι το μήνυμα κειμένου και το ιστορικό περιήγησης πράγματι δεν συλλέχθηκαν. Όσον αφορά τα στοιχεία που συλλέχθηκαν, ο κύριος του έργου μας είπε τα εξής:

Συλλέξαμε το μέγεθος της οθόνης για να επιστρέψουμε την πιο κατάλληλη ταπετσαρία για το τηλέφωνο. Περισσότεροι και περισσότεροι χρήστες μου έστειλαν μήνυμα ηλεκτρονικού ταχυδρομείου λέγοντας ότι αγαπούν τις εφαρμογές ταπετσαρίας μου τόσο πολύ, επειδή και αυτό το "Ιστορικό" δεν μπορεί να ταιριάζει καλά στην οθόνη του τηλεφώνου.

Συλλέξα επίσης αναγνωριστικό συσκευής, αριθμό τηλεφώνου και αναγνωριστικό συνδρομητή, δεν έχει καμία σχέση με τα δεδομένα χρήστη. Υπάρχουν λίγες εφαρμογές στην αγορά Android έχει το αγαπημένο χαρακτηριστικό. Πολλοί χρήστες υποδεικνύουν ότι πρέπει να δώσω το χαρακτηριστικό, γι 'αυτό χρησιμοποιώ αυτά για να ταυτοποιήσω τη συσκευή, έτσι ώστε να μπορούν να ταιριάζουν καλύτερα στις ταπετσαρίες και να συνεχίσουν τα αγαπημένα της μετά την επαναφορά του συστήματος ή την αλλαγή του τηλεφώνου.

Λοιπόν, αυτό είναι που στέκεστε. Και αυτό δεν είναι αναγκαστικά νέο πράγμα για το Android. Οι εφαρμογές μπορούν να έχουν πρόσβαση σε μέρη του τηλεφώνου που δεν χρειάζονται απαραιτήτως, αλλά χωρίς κακό σκοπό. (Εκεί αυτά τα πρόσφατα "X τοις εκατό των εφαρμογών Android μπορούν να πάρουν στα προσωπικά σας δεδομένα!" Έχουν έρθει οι ιστορίες.) Είναι απλώς θέμα κωδικοποίησης και πρόθεσης, σωστά; Τούτου λεχθέντος, πρέπει να δώσετε προσοχή στην προειδοποίηση που λαμβάνετε κάθε φορά που εγκαθιστάτε μια εφαρμογή. Το προηγούμενο παράδειγμά μας ακούγεται αληθές: Εάν, ας πούμε, μια αριθμομηχανή είπε ότι έπρεπε να δει τα μηνύματά μου, θα ανησυχούσα. Πολύ. Είναι είτε μια κακώς κωδικοποιημένη εφαρμογή, είτε δεν είναι καθόλου καλό. Είτε έτσι είτε αλλιώς, δεν το θέλω στο τηλέφωνό μου.

Είναι όλα αυτά τα FUD; Όταν μια εταιρεία ασφάλειας λέει ότι πρέπει να είμαστε επιφυλακτικοί, είμαστε επιφυλακτικοί - και το γεγονός ότι μια εταιρεία ασφάλειας κάνει τα χρήματά της πωλώντας λογισμικό ασφαλείας δεν χάνονται από εμάς. Αλλά πάρτε το χρόνο σας και να διαβάσετε τη θέση του MaHaffey. Και διαβάστε παρακάτω την απάντηση του προγραμματιστή.

Το ηθικό της ιστορίας είναι το μυαλό αυτό που κατεβάζετε, διαβάζετε όσο μπορείτε και κρατάτε πάνω από τα πράγματα. Ο MaHaffey της Lookout, επίσης, λέει ότι τελειώνει με "Συνολικά, ο στόχος μας είναι να βοηθήσουμε τους χρήστες και τους προγραμματιστές σε όλες τις πλατφόρμες κινητής τηλεφωνίας να είναι υπεύθυνοι και σε εγρήγορση για την εξασφάλιση ασφαλούς κινητής εμπειρίας".

Πράγματι.

Απόκριση Jackeey

Νέα

Η επιλογή των συντακτών