Daftar Isi:
Mari kita rekap: Rabu malam yang lalu (atau Kamis pagi pagi), kami melaporkan sebuah cerita yang diterbitkan di Mobile Beat yang keluar dari konferensi keamanan online Black Hat. Pada konferensi tersebut, Kevin MaHaffey, CTO di perusahaan keamanan seluler Lookout, menceritakan tentang aplikasi dari pengembang "jackeey, wallpaper, " yang pada dasarnya merupakan portal untuk mengunduh wallpaper untuk ponsel Android Anda. Kisah itu menceritakan kisah "aplikasi wallpaper seluler Android yang dipertanyakan yang mengumpulkan data pribadi Anda dan mengirimkannya ke situs misterius di China, (dan) telah diunduh jutaan kali."
Kami telah melakukan kontak dengan Lookout - yang menegaskan kembali bahwa aplikasi, meskipun dicurigai, tidak selalu berbahaya. Kami juga mendapat tanggapan dari pengembang yang bersangkutan. Pembaruan dari keduanya, setelah istirahat.
Klarifikasi Lookout
Kamis pagi, kami menerima email dari MaHaffey mengenai aplikasi "jackeey, wallpaper". Dia mengklarifikasi berikut ini dari bagian Mobile Beat, serta kisah kami:
"Aplikasi wallpaper yang kami analisis terbukti mengirim beberapa bagian data sensitif ke server, termasuk nomor telepon perangkat, pengenal pelanggan, dan nomor pesan suara yang saat ini diprogram. Aplikasi yang kami analisis tidak mengakses pesan SMS, riwayat penelusuran, atau pesan suara perangkat. kata sandi (kecuali pengguna secara manual memprogram nomor pesan suara pada perangkat untuk memasukkan kata sandi pesan suara)."
Dia juga menambahkan "sementara data yang diakses aplikasi wallpaper tentu mencurigakan berasal dari aplikasi wallpaper, kami tidak mengatakan bahwa aplikasi ini berbahaya."
Posting blog menjelaskan metodologi
Pada Kamis sore, MaHaffey memposting penjelasan yang panjang di blog Lookout, merinci kode yang dipertanyakan dan menegaskan kembali bahwa sementara kode tersebut dicurigai, "tidak ada bukti perilaku jahat." Dan itu perbedaan penting untuk dibuat.
Jadi apa masalahnya? Begini cara MaHaffey menjelaskan beberapa hal:
"Ada kode dalam aplikasi wallpaper yang mengakses data sensitif. Penting untuk dicatat bahwa tidak semua aplikasi yang mengakses data sensitif benar-benar mengirimkannya dari perangkat. Untuk melihat informasi seperti apa yang dikirimkan oleh aplikasi wallpaper ke internet, kami menganalisis lalu lintas jaringan yang dihasilkan oleh aplikasi. Ketika kami menggunakan aplikasi tersebut, satu permintaan khususnya menonjol, permintaan HTTP yang tidak dienkripsi ke server bernama 'imnet.us.'"
Pengembang merespons
Kami telah menghubungi pengembang aplikasi wallpaper hari ini dan menanyakan dengan tepat informasi apa yang dikumpulkan aplikasi, dan mengapa informasi apa pun akan dikirim ke server. (Bahwa server di China kemungkinan tidak relevan.)
Anda dapat membaca seluruh respons di bawah ini, yang sebagian besar diperdebatkan oleh klarifikasi Lookout sebelumnya bahwa pesan teks dan riwayat penelusuran memang tidak dikumpulkan. Adapun apa yang dikumpulkan, pengembang memberi tahu kami hal berikut:
Saya mengumpulkan ukuran layar untuk mengembalikan wallpaper yang lebih cocok untuk telepon. Semakin banyak pengguna yang mengirimi saya email yang mengatakan bahwa mereka sangat menyukai aplikasi wallpaper saya, karena bahkan "Latar Belakang" itu tidak cocok dengan layar ponsel.
Saya juga mengumpulkan id perangkat, nomor telepon, dan id pelanggan, tidak memiliki hubungan dengan data pengguna. Ada beberapa aplikasi di pasar Android yang memiliki fitur favorit. Banyak pengguna menyarankan agar saya menyediakan fitur ini, jadi saya menggunakan ini untuk mengidentifikasi perangkat, sehingga mereka dapat lebih menyukai wallpaper, dan melanjutkan favoritnya setelah sistem mengatur ulang atau mengganti telepon.
Jadi, di situlah kita berdiri. Dan ini belum tentu hal baru untuk Android. Aplikasi dapat memiliki akses ke bagian ponsel Anda yang tidak perlu, tetapi tanpa niat jahat. (Di situlah cerita "X persen aplikasi Android baru-baru ini dapat diperoleh di data pribadi Anda !!!"). Itu hanya masalah pengkodean dan niat, bukan? Yang mengatakan, Anda perlu memperhatikan peringatan yang Anda dapatkan setiap kali Anda menginstal aplikasi. Contoh kami sebelumnya berdering benar: Jika, katakanlah, kalkulator mengatakan perlu melihat pesan teks saya, saya khawatir. Banyak. Entah itu aplikasi dengan kode yang buruk, atau tidak bagus. Either way, saya tidak menginginkannya di ponsel saya.
Apakah ini semua FUD? Ketika sebuah perusahaan keamanan mengatakan kita harus waspada, kita waspada - dan fakta bahwa perusahaan keamanan menghasilkan uang dengan menjual perangkat lunak keamanan tidak hilang pada kita. Tapi luangkan waktu Anda dan baca posting MaHaffey lagi. Dan baca lagi respons pengembang di bawah.
Moral dari cerita ini adalah pikiran tentang apa yang Anda unduh, baca sebanyak yang Anda bisa, dan teruskan yang terbaik. MaHaffey Lookout juga mengatakan demikian, diakhiri dengan "Secara keseluruhan, tujuan kami adalah untuk membantu pengguna dan pengembang di semua platform seluler agar bertanggung jawab dan waspada dalam memastikan pengalaman seluler yang aman."
Memang.
Respon Jackeey
