Tabla de contenido:
- Aclaración del puesto de observación
- La publicación del blog explica la metodología
- El desarrollador responde
Recapitulemos: a última hora del miércoles por la noche (o temprano el jueves por la mañana), informamos sobre una historia publicada en Mobile Beat que salió de la conferencia de seguridad en línea de Black Hat. En la conferencia, Kevin MaHaffey, CTO de la firma de seguridad móvil Lookout, habló de una aplicación del desarrollador "jackeey, wallpaper", que básicamente es un portal para descargar fondos de pantalla para su teléfono Android. La historia cuenta la historia de "una cuestionable aplicación de fondo de pantalla móvil de Android que recopila sus datos personales y los envía a un sitio misterioso en China, (y) ha sido descargada millones de veces".
Hemos estado en contacto con Lookout, que reitera que las aplicaciones, aunque sospechosas, no son necesariamente maliciosas. También hemos recibido una respuesta del desarrollador en cuestión. Actualizaciones de ambos, después del descanso.
Aclaración del puesto de observación
Temprano el jueves por la mañana, recibimos un correo electrónico de MaHaffey sobre las aplicaciones "jackeey, wallpaper". Aclaró lo siguiente de la pieza Mobile Beat, así como nuestra historia:
"Las aplicaciones de fondo de pantalla que analizamos demostraron enviar varios datos confidenciales a un servidor, incluido el número de teléfono de un dispositivo, el identificador de suscriptor y el número de correo de voz actualmente programado. Las aplicaciones que analizamos no accedieron a los mensajes SMS, el historial de navegación o el correo de voz de un dispositivo contraseña (a menos que un usuario haya programado manualmente el número de correo de voz en el dispositivo para incluir la contraseña del correo de voz) ".
También agregó que "aunque los datos a los que acceden las aplicaciones de fondo de pantalla son ciertamente sospechosos provenientes de aplicaciones de fondo de pantalla, no estamos diciendo que estas aplicaciones sean maliciosas".
La publicación del blog explica la metodología
El jueves por la tarde, MaHaffey publicó una larga explicación en el blog de Lookout, detallando el código en cuestión y reiterando que si bien el código en cuestión es sospechoso, "no hay evidencia de comportamiento malicioso". Y esa es una distinción importante que hacer.
¿Así que cuál es el problema? Así es como MaHaffey explica las cosas:
"Hay un código en las aplicaciones de fondo de pantalla que accede a datos confidenciales. Es importante tener en cuenta que no todas las aplicaciones que acceden a datos confidenciales realmente lo transmiten fuera del dispositivo. Para ver qué tipo de información transmiten las aplicaciones de fondo de pantalla a Internet, analizamos el tráfico de red generado por la aplicación. Cuando utilizamos la aplicación, una solicitud en particular se destacó, una solicitud HTTP sin cifrar a un servidor llamado 'imnet.us'."
El desarrollador responde
Hemos estado en contacto con el desarrollador de las aplicaciones de fondo de pantalla hoy y hemos preguntado exactamente qué información recopilan las aplicaciones y por qué cualquier información se enviaría a un servidor. (Que el servidor esté en China probablemente sea irrelevante).
Puede leer la respuesta completa a continuación, gran parte de la cual es discutida por la aclaración previa de Lookout de que el mensaje de texto y el historial de navegación no fueron recopilados. En cuanto a lo que se recopiló, el desarrollador nos dijo lo siguiente:
Recogí el tamaño de la pantalla para devolver un fondo de pantalla más adecuado para el teléfono. Más y más usuarios me enviaron un correo electrónico diciéndome que aman tanto mis aplicaciones de fondo de pantalla, porque incluso "Fondo" no se adapta bien a la pantalla del teléfono.
También recopilé la identificación del dispositivo, el número de teléfono y la identificación del suscriptor, no tiene relación con los datos del usuario. Hay pocas aplicaciones en Android Market que tengan la función de favoritos. Muchos usuarios sugieren que debería proporcionar la función, así que la uso para identificar el dispositivo, para que puedan personalizar los fondos de pantalla de manera más conveniente y reanudar sus favoritos después de reiniciar el sistema o cambiar el teléfono.
Entonces, ahí es donde estamos parados. Y esto no es necesariamente algo nuevo para Android. Las aplicaciones pueden tener acceso a partes de su teléfono que no necesariamente necesitan, pero sin intenciones de malicia. (¡De ahí provienen estas historias recientes de "X por ciento de las aplicaciones de Android que pueden llegar a sus datos personales!"). Es solo una cuestión de codificación e intención, ¿verdad? Dicho esto, debe prestar atención a la advertencia que recibe cada vez que instala una aplicación. Nuestro ejemplo anterior suena verdadero: si, por ejemplo, una calculadora dice que necesita ver mis mensajes de texto, me preocuparía. Mucho. Es una aplicación mal codificada o no sirve para nada. De cualquier manera, no lo quiero en mi teléfono.
¿Es todo esto FUD? Cuando una compañía de seguridad dice que debemos ser cautelosos, somos cautelosos, y el hecho de que una compañía de seguridad gane su dinero vendiendo software de seguridad no se nos pierde. Pero tómate tu tiempo y vuelve a leer la publicación de MaHaffey. Y lea la respuesta del desarrollador nuevamente a continuación.
La moraleja de la historia es tener en cuenta lo que descarga, leer tanto como pueda y estar al tanto de todo. Lookout's MaHaffey también lo dice, y termina con "En general, nuestro objetivo es ayudar a los usuarios y desarrolladores por igual en todas las plataformas móviles a ser responsables y vigilantes para garantizar una experiencia móvil segura".
En efecto.
Respuesta de Jackeey
