İçindekiler:
Tekrar özetleyelim: Çarşamba gecesi geç saatlerde (veya perşembe sabahı erken saatlerde), Black Hat çevrimiçi güvenlik konferansından çıkan Mobile Beat'te yayınlanan bir haberi yayınladık. Konferansta, mobil güvenlik firması Lookout'taki CTO'lu Kevin MaHaffey, geliştiriciden "jackeey, wallpaper" dan bir uygulamanın, Android telefonunuz için duvar kağıtlarını indirmek için bir portal olduğunu söyledi. Hikaye, "kişisel verilerinizi toplayan ve Çin'de gizemli bir siteye gönderen şüpheli bir Android mobil duvar kağıdı uygulaması (ve) milyonlarca kez indirildi." Hikayesini anlattı.
Uygulamaların şüpheli olsa da kötü amaçlı olmadıklarını yineleyen Lookout ile bağlantı kurduk. Ayrıca söz konusu geliştiriciden bir yanıt aldık. Aradan sonra her ikisinden de güncellemeler.
Gözcü açıklığı
Perşembe sabah erken saatlerde MaHaffey'den "jackeey, wallpaper" uygulamaları hakkında bir e-posta aldık. Mobile Beat parçasından ve hikayemizden aşağıdakileri netleştirdi:
"Analiz ettiğimiz duvar kağıdı uygulamalarının, bir cihazın telefon numarası, abone tanımlayıcısı ve o anda programlanmış sesli posta numarası da dahil olmak üzere bir sunucuya birkaç hassas veri gönderdiği kanıtlandı. Analiz ettiğimiz uygulamalar bir cihazın SMS mesajlarına, tarama geçmişine veya sesli mesaja erişmedi parola (bir kullanıcı cihazdaki sesli posta numarasını, sesli posta şifresini içerecek şekilde manuel olarak programlamadıkça)."
Ayrıca, "duvar kağıdı uygulamalarına erişen veriler kesinlikle duvar kağıdı uygulamalarından geldiğinden şüpheliyken, bu uygulamaların kötü amaçlı olduğunu söylemiyoruz."
Blog yazısı metodolojiyi açıklıyor
Perşembe öğleden sonra MaHaffey, Lookout'un blogunda uzun bir açıklama yaparak, söz konusu kodu ayrıntılarıyla açıkladı ve söz konusu kod şüpheli iken "kötü niyetli davranış kanıtı olmadığını" yineledi. Ve bu yapmak için önemli bir ayrım.
Öyleyse önemli olan ne? İşte MaHaffey bazı şeyleri açıklar:
"Hassas verilere erişen duvar kağıdı uygulamalarında kod var. Hassas verilere erişen tüm uygulamaların gerçekte cihazdan iletmediğine dikkat etmek önemlidir. Duvar kağıdı uygulamalarının internete ne tür bilgiler aktardığını görmek için, biz Uygulama tarafından oluşturulan ağ trafiğini analiz etti.Uygulamayı kullandığımızda, özellikle bir istek, 'imnet.us' adlı bir sunucuya şifrelenmemiş bir HTTP isteği göze çarpıyordu."
Geliştirici yanıt veriyor
Bugün duvar kağıdı uygulamalarının geliştiricisi ile bağlantıya geçtik ve uygulamaların tam olarak hangi bilgileri topladığını ve herhangi bir bilginin bir sunucuya neden gönderileceğini sorduk. (Sunucunun Çin'de olması muhtemel değildir.)
Lookout'un önceki metin açıklamasının ve tarama geçmişinin gerçekten alınmadığına dair açıklığa kavuşturulmasıyla, çoğu yanıtını kararsız bırakan aşağıdaki yanıtın tamamını okuyabilirsiniz. Ne toplandığına gelince, geliştirici bize aşağıdakileri söyledi:
Telefon için daha uygun duvar kağıdını döndürmek için ekran boyutunu topladım. Gittikçe daha fazla kullanıcı, duvar kağıdı uygulamalarımı çok sevdiklerini söyleyen bir e-posta gönderdi, çünkü “Arka Plan” bile telefonun ekranına çok uygun değil.
Ayrıca cihaz kimliği, telefon numarası ve abone kimliğini de topladım, kullanıcı verileri ile hiçbir ilişkisi yok. Android piyasasında sık kullanılanlar özelliğine sahip birkaç uygulama var. Bir çok kullanıcı bu özelliği sağlamamı tavsiye ediyor, bu yüzden cihazı tanımlamak için bunları kullanıyorum, böylece duvar kağıtlarını daha rahatça kullanabiliyorlar ve sistemi sıfırladıktan veya telefonu değiştirdikten sonra favorilerini devam ettirebiliyorlar.
Demek durduğumuz yer orası. Ve bu mutlaka Android için yeni bir şey değil. Uygulamalar telefonunuzun mutlaka gerek duymadıkları, ancak herhangi bir kötüye kullanımının gerekmediği kısımlarına erişebilir. (Bu son zamanlarda "Android uygulamalarının yüzde X'i kişisel verilerinize erişebiliyor !!!" hikayeleri geldi.) Bu sadece bir kodlama ve niyet meselesi, değil mi? Bununla birlikte, bir uygulamayı her yüklediğinizde aldığınız uyarıya dikkat etmeniz gerekir. Önceki örneğimizde doğru: “Hesap makinesi kısa mesajlarımı görmenin gerekli olduğunu söylerse, endişelenirim. Çok. Ya kötü kodlanmış bir uygulama ya da hiçbir işe yaramaz. Her iki şekilde de, telefonumda istemiyorum.
Bunların hepsi FUD mu? Bir güvenlik şirketi temkinli olmamız gerektiğini söylediğinde, temkinli davranırız - ve bir güvenlik şirketinin para satan güvenlik yazılımını kazanması bizim üzerimizde kaybolmaz. Ama zamanını ayır ve MaHaffey'in gönderisini tekrar oku. Ve geliştiricinin yanıtını aşağıda tekrar okuyun.
Hikayenin ahlakı, indirdiğiniz şeyleri, elinizden geldiğince okuyun ve her şeyin üstünde tutun. Lookout'tan MaHaffey de şöyle diyor: “Genel olarak hedefimiz, tüm mobil platformlardaki kullanıcılara ve geliştiricilere, güvenli bir mobil deneyim sağlama konusunda sorumlu ve dikkatli olmaları için yardımcı olmaktır.”
Aslında.
Jackeey Tepki
