Índice:
Vamos recapitular: na noite de quarta-feira (ou no início da manhã de quinta-feira), relatamos uma história publicada no Mobile Beat que saiu da conferência de segurança on-line da Black Hat. Na conferência, Kevin MaHaffey, CTO da empresa de segurança móvel Lookout, falou sobre um aplicativo do desenvolvedor "jackeey, wallpaper", que basicamente é um portal para baixar papéis de parede para o seu telefone Android. A história contou a história de "um aplicativo de papel de parede móvel questionável para Android que coleta seus dados pessoais e os envia para um site misterioso na China (e) já foi baixado milhões de vezes".
Entramos em contato com o Lookout - que reitera que os aplicativos, embora suspeitos, não são necessariamente maliciosos. Também temos uma resposta do desenvolvedor em questão. Atualizações de ambos, após o intervalo.
Esclarecimento da Lookout
No início da manhã de quinta-feira, recebemos um e-mail de MaHaffey sobre os aplicativos "jackeey, wallpaper". Ele esclareceu o seguinte sobre o artigo Mobile Beat, bem como nossa história:
"Os aplicativos de papel de parede que analisamos provaram enviar vários dados confidenciais para um servidor, incluindo o número de telefone de um dispositivo, identificador de assinante e número de correio de voz atualmente programado. Os aplicativos analisados não acessam as mensagens SMS, histórico de navegação ou correio de voz de um dispositivo. senha (a menos que um usuário tenha programado manualmente o número do correio de voz no dispositivo para incluir a senha do correio de voz)."
Ele também acrescentou que "enquanto os dados que os aplicativos de papel de parede estão acessando são certamente suspeitos provenientes de aplicativos de papel de parede, não estamos dizendo que esses aplicativos são maliciosos".
Postagem no blog explica a metodologia
Na tarde de quinta-feira, MaHaffey postou uma longa explicação no blog da Lookout, detalhando o código em questão e reiterando que, embora o código em questão seja suspeito, "não há evidências de comportamento malicioso". E essa é uma distinção importante a ser feita.
Então, qual é o grande problema? Veja como MaHaffey explica as coisas:
"Existe um código nos aplicativos de papel de parede que acessa dados confidenciais. É importante observar que nem todos os aplicativos que acessam dados confidenciais realmente os transmitem para fora do dispositivo. Para ver que tipo de informação os aplicativos de papel de parede transmitem para a Internet, nós analisou o tráfego de rede gerado pelo aplicativo.Quando usamos o aplicativo, uma solicitação em particular se destacou: uma solicitação HTTP não criptografada para um servidor chamado 'imnet.us'."
O desenvolvedor responde
Hoje entramos em contato com o desenvolvedor dos aplicativos de papel de parede e perguntamos exatamente quais informações os aplicativos coletam e por que essas informações seriam enviadas para um servidor. (Que o servidor esteja na China provavelmente é irrelevante.)
Você pode ler a resposta completa abaixo, grande parte do que é discutida pelos esclarecimentos anteriores da Lookout de que a mensagem de texto e o histórico de navegação realmente não foram coletados. Quanto ao que foi coletado, o desenvolvedor nos disse o seguinte:
Eu coletei o tamanho da tela para retornar um papel de parede mais adequado para o telefone. Mais e mais usuários me enviaram um e-mail dizendo que adoram meus aplicativos de papel de parede, porque mesmo o "Plano de fundo" não se encaixa bem na tela do telefone.
Também coletei a identificação do dispositivo, o número de telefone e a identificação do assinante; ele não tem relação com os dados do usuário. Existem poucos aplicativos no Android market que possuem o recurso de favoritos. Muitos usuários sugerem que eu forneça o recurso para usá-los para identificar o dispositivo, para que eles possam adicionar um favorito aos papéis de parede de maneira mais conveniente e continuar seus favoritos após a redefinição ou troca do telefone pelo sistema.
Então, é aí que estamos. E isso não é necessariamente uma novidade para o Android. Os aplicativos podem ter acesso a partes do seu telefone que eles não precisam necessariamente, mas sem malícia. (É daí que essas histórias recentes de "X% dos aplicativos Android podem acessar seus dados pessoais !!!") são apenas uma questão de codificação e intenção, certo? Dito isso, você precisa prestar atenção ao aviso que recebe toda vez que instala um aplicativo. Nosso exemplo anterior parece verdadeiro: se, digamos, uma calculadora dissesse que precisava ver minhas mensagens de texto, eu me preocuparia. Muito. É um aplicativo mal codificado ou não é bom. De qualquer forma, não quero no meu telefone.
Isso é tudo FUD? Quando uma empresa de segurança diz que precisamos ser cautelosos, somos cautelosos - e o fato de uma empresa de segurança ganhar dinheiro vendendo software de segurança não se perde para nós. Mas não se apresse, e leia a publicação de MaHaffey novamente. E leia a resposta do desenvolvedor novamente abaixo.
A moral da história é cuidar do que você baixa, lê o máximo que pode e fica por dentro das coisas. MaHaffey da Lookout também diz isso, terminando com "No geral, nosso objetivo é ajudar usuários e desenvolvedores em todas as plataformas móveis a serem responsáveis e vigilantes, garantindo uma experiência móvel segura".
De fato.
Resposta Jackeey
