Inhaltsverzeichnis:
Fassen wir zusammen: Am späten Mittwochabend (oder am frühen Donnerstagmorgen) berichteten wir über eine bei Mobile Beat veröffentlichte Geschichte, die aus der Online-Sicherheitskonferenz von Black Hat hervorging. Auf der Konferenz berichtete Kevin MaHaffey, CTO bei der mobilen Sicherheitsfirma Lookout, von einer App des Entwicklers "jackeey, wallpaper", bei der es sich im Grunde um ein Portal zum Herunterladen von Hintergrundbildern für Ihr Android-Handy handelt. Die Geschichte erzählte die Geschichte von "einer fragwürdigen Android-App für Handys, die Ihre persönlichen Daten sammelt und an eine mysteriöse Site in China sendet und millionenfach heruntergeladen wurde."
Wir sind mit Lookout in Kontakt getreten - was darauf hinweist, dass die Apps zwar verdächtig, aber nicht unbedingt bösartig sind. Wir haben auch eine Antwort vom betreffenden Entwickler. Updates von beiden nach der Pause.
Lookout's Erklärung
Am frühen Donnerstagmorgen erhielten wir eine E-Mail von MaHaffey bezüglich der Apps "jackeey, wallpaper". Aus dem Stück von Mobile Beat und unserer Geschichte hat er Folgendes klargestellt:
"Die von uns analysierten Hintergrundanwendungen haben erwiesenermaßen mehrere vertrauliche Daten an einen Server gesendet, darunter die Telefonnummer eines Geräts, die Abonnenten-ID und die aktuell programmierte Voicemail-Nummer. Die von uns analysierten Anwendungen haben nicht auf die SMS-Nachrichten, den Browserverlauf oder die Voicemail eines Geräts zugegriffen Kennwort (es sei denn, ein Benutzer hat die Voicemail-Nummer auf dem Gerät manuell so programmiert, dass sie das Voicemail-Kennwort enthält)."
Er fügte hinzu: "Während die Daten, auf die die Hintergrund-Apps zugreifen, mit Sicherheit von Hintergrund-Apps verdächtig sind, sagen wir nicht, dass diese Anwendungen bösartig sind."
Blogpost erklärt die Methodik
Am Donnerstagnachmittag veröffentlichte MaHaffey eine ausführliche Erklärung in Lookouts Blog, in der er den fraglichen Code ausführlich beschrieb und wiederholte, dass der fragliche Code zwar verdächtig ist, "es jedoch keine Hinweise auf böswilliges Verhalten gibt". Und das ist eine wichtige Unterscheidung.
Also, was ist die große Sache? So erklärt MaHaffey die Dinge:
"In den Hintergrundanwendungen ist Code enthalten, der auf vertrauliche Daten zugreift. Es ist wichtig zu wissen, dass nicht alle Anwendungen, die auf vertrauliche Daten zugreifen, diese tatsächlich vom Gerät übertragen. Um zu sehen, welche Art von Informationen die Hintergrundanwendungen an das Internet übertragen, verwenden wir analysierte den von der Anwendung generierten Netzwerkverkehr. Als wir die Anwendung verwendeten, fiel insbesondere eine Anfrage auf, eine unverschlüsselte HTTP-Anfrage an einen Server mit dem Namen "imnet.us"."
Der Entwickler antwortet
Wir haben uns heute mit dem Entwickler der Hintergrundanwendungen in Verbindung gesetzt und genau gefragt, welche Informationen die Apps sammeln und warum Informationen an einen Server gesendet werden. (Dass sich der Server wahrscheinlich in China befindet, spielt keine Rolle.)
Sie können die gesamte unten stehende Antwort lesen, von der ein Großteil durch Lookouts vorherige Klarstellung, dass SMS und Browserverlauf tatsächlich nicht gesammelt wurden, in Frage gestellt wird. Was gesammelt wurde, teilte uns der Entwickler mit:
Ich habe die Bildschirmgröße gesammelt, um ein passenderes Hintergrundbild für das Telefon zu erhalten. Immer mehr Benutzer schickten mir eine E-Mail, in der sie mir sagten, dass sie meine Hintergrund-Apps so sehr lieben, weil selbst "Hintergrund" nicht gut für den Bildschirm des Telefons geeignet ist.
Ich habe auch die Geräte-ID, die Telefonnummer und die Abonnenten-ID gesammelt, sie hat keine Beziehung zu den Benutzerdaten. Es gibt nur wenige Apps im Android Market, die über die Favoritenfunktion verfügen. Viele Benutzer empfehlen mir, diese Funktion bereitzustellen, damit ich sie zur Identifizierung des Geräts verwenden kann, damit sie die Hintergrundbilder bequemer als Favoriten speichern und seine Favoriten nach dem Zurücksetzen des Systems oder dem Ändern des Telefons wieder aufnehmen können.
Hier stehen wir also. Und dies ist nicht unbedingt eine neue Sache für Android. Apps können auf Teile Ihres Telefons zugreifen, die sie nicht unbedingt benötigen, aber ohne Vorsatz. (Hierher kommen die jüngsten "X Prozent der Android-Apps können auf Ihre persönlichen Daten zugreifen !!!" - Geschichten.) Es ist nur eine Frage der Codierung und der Absicht, oder? Sie müssen jedoch die Warnung beachten, die Sie bei jeder Installation einer App erhalten. Unser vorheriges Beispiel klingt richtig: Wenn zum Beispiel ein Taschenrechner sagte, dass er meine Textnachrichten sehen muss, würde ich mir Sorgen machen. Viel. Es ist entweder eine schlecht codierte App, oder es ist nichts Gutes. Auf jeden Fall möchte ich es nicht auf meinem Handy haben.
Ist das alles FUD? Wenn eine Sicherheitsfirma sagt, wir müssen vorsichtig sein, sind wir vorsichtig - und die Tatsache, dass eine Sicherheitsfirma mit dem Verkauf von Sicherheitssoftware ihr Geld verdient, geht uns nicht verloren. Aber nehmen Sie sich Zeit und lesen Sie den Beitrag von MaHaffey noch einmal. Lesen Sie die Antwort des Entwicklers weiter unten noch einmal.
Die Moral der Geschichte ist es, sich darum zu kümmern, was Sie herunterladen, so viel wie möglich lesen und den Überblick behalten. MaHaffey von Lookout sagt dies auch und endet mit "Insgesamt ist es unser Ziel, Benutzern und Entwicklern auf allen mobilen Plattformen zu helfen, verantwortungsbewusst und wachsam für ein sicheres mobiles Erlebnis zu sorgen."
Tatsächlich.
Antwort von Jackeey
