תוכן עניינים:
בוא נסקור: יום רביעי מאוחר (או בשעות הבוקר המוקדמות של יום חמישי), דיווחנו על סיפור שפורסם ב- Mobile Beat שיצא מכנס האבטחה המקוון Black Hat. בכנס סיפר קווין מהפי, CTO בחברת האבטחה הסלולרית Lookout, על אפליקציה של המפתח "jackeey, wallpaper", שהיא בעצם פורטל להורדת טפטים לטלפון אנדרואיד שלך. הסיפור סיפר את סיפור "אפליקציית טפטים ניידים אנדרואיד מפוקפק שאוספת את הנתונים האישיים שלך ושולחת אותם לאתר מסתורי בסין, (ו) הורדה מיליוני פעמים."
היינו בקשר עם Lookout - שמזכיר כי היישומים, למרות שהם חשודים, אינם בהכרח זדוניים. יש לנו גם תגובה מהיזם המדובר. עדכונים משניהם, לאחר ההפסקה.
ההבהרה של תצפית
בשעות הבוקר המוקדמות של יום חמישי, קיבלנו דוא"ל מממהפי בנוגע לאפליקציות "ג'קיי, טפטים". הוא הבהיר את הדברים הבאים מתוך הקטע Mobile Beat, כמו גם את הסיפור שלנו:
"יישומי הטפט שניתחנו הוכיחו כי הם שולחים כמה פיסות נתונים רגישים לשרת, כולל מספר הטלפון של המכשיר, מזהה המנוי ומספר הדואר הקולי שתוכנת כעת. היישומים שניתחנו לא הגישה להודעות SMS של מכשיר, היסטוריית גלישה או דואר קולי. סיסמה (אלא אם כן משתמש תיכנת ידנית את מספר הדואר הקולי במכשיר כך שיכלול את סיסמת הדואר הקולי)."
הוא הוסיף כי "אמנם הנתונים שאפליקציות הטפטים ניגשים אליהם בהחלט חשודים שמקורם באפליקציות טפטים. אנחנו לא אומרים שהיישומים הללו זדוניים."
פוסט בבלוג מסביר את המתודולוגיה
ביום חמישי אחר הצהריים פרסמה מהפי הסבר ממושך בבלוג של Lookout, תוך שהיא מפרטת את הקוד המדובר והזכירה כי בעוד שהקוד המדובר חשוד, "אין שום עדות להתנהגות זדונית." וזו הבחנה חשובה שיש לעשות.
אז מה העניין הגדול? כך מסביר מאהפי את הדברים:
"יש קוד ביישומי הטפטים הגישה לנתונים רגישים. חשוב לציין שלא כל היישומים הגישה לנתונים רגישים אכן משדרים אותם מההתקן. על מנת לראות איזה סוג מידע יישומי הטפטים משדרים לאינטרנט, אנו ניתח את תנועת הרשת שנוצרה על ידי האפליקציה. כאשר השתמשנו ביישום, בקשה אחת בפרט בלטה, בקשת HTTP לא מוצפנת לשרת בשם 'imnet.us.'"
היזם מגיב
היינו בקשר עם מפתח אפליקציות הטפטים היום ושאלנו בדיוק איזה מידע האפליקציות אוספות, ומדוע מידע כלשהו יישלח לשרת. (סביר להניח כי השרת בסין אינו רלוונטי.)
תוכלו לקרוא את התגובה כולה למטה, שחלק ניכר ממסומן על ידי ההבהרה הקודמת של Lookout כי הודעת טקסט והיסטוריית הגלישה אכן לא נאספה. באשר למה שנאסף, היזם אמר לנו את הדברים הבאים:
אספתי את גודל המסך כדי להחזיר טפט מתאים יותר לטלפון. יותר ויותר משתמשים שלחו אלי דוא"ל ואמרו שהם כל כך אוהבים את אפליקציות הטפטים שלי, מכיוון שאפילו "רקע" לא יכול להתאים למסך הטלפון.
אספתי גם מזהה מכשיר, מספר טלפון ומזהה מנויים, אין לזה קשר לנתוני משתמשים. יש יישומים מועטים בשוק אנדרואיד עם התכונה המועדפת. משתמשים רבים מציעים לי לספק את הפיצ'ר, כך שאשתמש באלו כדי לזהות את המכשיר, כך שיוכלו לחבב את הטפטים בצורה נוחה יותר, ולחדש את המועדפים עליו לאחר איפוס המערכת או החלפת הטלפון.
אז, זה המקום בו אנו עומדים. וזה לא בהכרח דבר חדש עבור אנדרואיד. לאפליקציות יכולות להיות גישה לחלקים מהטלפון שהם לא בהכרח צריכים, אך ללא כוונת זדון. (מכאן הגיעו סיפורי "X אחוזים של אפליקציות אנדרואיד" בנתונים האישיים שלך !!! ".) זה רק עניין של קידוד וכוונה, נכון? עם זאת, אתה צריך לשים לב לאזהרה שתקבל בכל פעם שאתה מתקין אפליקציה. הדוגמה הקודמת שלנו מתקשרת: אם, נגיד, מחשבון אמר שהוא צריך לראות את הודעות הטקסט שלי, הייתי דואג. הרבה. זו אפליקציה המקודדת בצורה גרועה, או שזה לא מועיל. כך או כך, אני לא רוצה את זה בטלפון שלי.
האם זה כל FUD? כשחברת אבטחה אומרת שאנחנו צריכים להיזהר, אנחנו נזהרים - והעובדה שחברת אבטחה מרוויחה את הכסף שלה במכירת תוכנות אבטחה לא אבידה עלינו. אבל קח את הזמן שלך וקרא שוב את הפוסט של מהפי. וקראו שוב את תגובת המפתח למטה.
מוסר ההשכל של הסיפור הוא אכפת ממה שתורידו, תקראו ככל שתוכלו ותמשיכו להתעדכן. גם MaHaffey של Lookout אומרת כך, ומסתיימת עם "בסך הכל, המטרה שלנו היא לעזור למשתמשים ומפתחים כאחד בכל הפלטפורמות הניידות להיות אחראיים וערנות להבטיח חווית מובייל בטוחה."
אכן.
תגובה של ג'קי
