Table des matières:
Récapitulons: mercredi soir (ou jeudi matin), nous avons relaté un article publié par Mobile Beat à la suite de la conférence sur la sécurité en ligne de Black Hat. Lors de la conférence, Kevin MaHaffey, directeur technique de la société de sécurité mobile Lookout, a parlé d'une application du développeur "jackeey, wallpaper", qui est essentiellement un portail permettant de télécharger des fonds d'écran pour votre téléphone Android. L'histoire raconte "une application discutable sur un fond d'écran mobile Android qui collecte vos données personnelles et les envoie à un site mystérieux en Chine (et) a été téléchargée des millions de fois".
Nous avons été en contact avec Lookout, qui réaffirme que les applications, bien que suspectes, ne sont pas nécessairement malveillantes. Nous avons également une réponse du développeur en question. Mises à jour des deux, après la pause.
Clarification de la surveillance
Tôt jeudi matin, nous avons reçu un courrier électronique de MaHaffey concernant les applications "jackeey, papier peint". Il a clarifié les points suivants de la pièce Mobile Beat, ainsi que notre histoire:
"Les applications de papier peint que nous avons analysées ont en effet envoyé plusieurs données sensibles à un serveur, notamment le numéro de téléphone d'un appareil, l'identifiant de l'abonné et le numéro de messagerie vocale actuellement programmé. Les applications analysées n'avaient pas accès aux messages SMS, à l'historique de navigation ni à la messagerie vocale d'un appareil. mot de passe (sauf si un utilisateur a programmé manuellement le numéro de messagerie vocale de l'appareil pour inclure le mot de passe de la messagerie vocale)."
Il a également ajouté: "Bien que les données auxquelles les applications de papier peint accèdent soient certainement suspectes, elles ne proviennent pas d'applications de papier peint, nous ne disons pas que ces applications sont malveillantes".
Un article de blog explique la méthodologie
Jeudi après-midi, MaHaffey a publié une longue explication sur le blog de Lookout, détaillant le code en question et réitérant que, bien que le code en question soit suspect, "il n'y a aucune preuve de comportement malveillant". Et c'est une distinction importante à faire.
Alors, quel est le problème? Voici comment MaHaffey explique les choses:
"Il existe un code dans les applications de papier peint qui accède aux données sensibles. Il est important de noter que toutes les applications qui accèdent à des données sensibles ne le transmettent pas à partir de l'appareil. Pour voir quel type d'informations les applications de papier peint transmettent à Internet, nous Nous avons analysé le trafic réseau généré par l’application. Lorsqu’on a utilisé l’application, une requête en particulier s’est démarquée: une requête HTTP non chiffrée adressée à un serveur nommé "imnet.us"."
Le développeur répond
Nous sommes en contact avec le développeur des applications de papier peint aujourd'hui et nous demandons quelles informations les applications collectent et pourquoi ces informations sont envoyées à un serveur. (Que le serveur soit en Chine n'est probablement pas pertinent.)
Vous pouvez lire l'intégralité de la réponse ci-dessous, dont une grande partie est rendue discutable par la précédente clarification de Lookout selon laquelle les messages texte et l'historique de navigation n'étaient effectivement pas collectés. En ce qui concerne ce qui a été collecté, le développeur nous a dit ce qui suit:
J'ai recueilli la taille de l'écran pour retourner un fond d'écran plus approprié pour le téléphone. De plus en plus d'utilisateurs m'ont envoyé un message m'informant qu'ils aiment tellement mes applications de papier peint, car même «Contexte» ne convient pas à l'écran du téléphone.
J'ai également collecté l'identifiant de l'appareil, le numéro de téléphone et l'identifiant de l'abonné, il n'a aucun lien avec les données de l'utilisateur. Il y a peu d'applications sur Android Market qui a la fonctionnalité des favoris. De nombreux utilisateurs suggèrent que je devrais fournir la fonctionnalité afin que je les utilise pour identifier l'appareil, afin qu'ils puissent mettre en favori les fonds d'écran plus facilement, et reprendre ses favoris après la réinitialisation ou le changement du téléphone.
Donc, voilà où nous en sommes. Et ce n'est pas nécessairement une nouveauté pour Android. Les applications peuvent avoir accès à des parties de votre téléphone dont elles n’ont pas nécessairement besoin, mais sans malveillance. (C'est de là que viennent ces histoires "X pour cent des applications Android peuvent obtenir vos données personnelles !!!".) C'est juste une question de codage et d'intention, non? Cela dit, vous devez faire attention à l'avertissement que vous recevez chaque fois que vous installez une application. Notre exemple précédent sonne juste: si, par exemple, une calculatrice indique qu’elle a besoin de voir mes messages texte, je suis inquiète. Beaucoup. Il s’agit d’une application mal codée ou qui ne sert à rien. De toute façon, je ne le veux pas sur mon téléphone.
Est-ce tout ce FUD? Quand une entreprise de sécurité dit que nous devons être prudents, nous le sommes - et le fait qu’une entreprise de sécurité gagne son argent en vendant des logiciels de sécurité ne nous échappe pas. Mais prenez votre temps et relisez le message de MaHaffey. Et lisez à nouveau la réponse du développeur ci-dessous.
La morale de l'histoire dépend de ce que vous téléchargez, lisez autant que vous le pouvez et restez au fait des choses. MaHaffey de Lookout le dit aussi, en terminant par "Notre objectif est d'aider les utilisateurs, qu'ils soient développeurs, sur toutes les plateformes mobiles, à être responsables et vigilants afin de garantir une expérience mobile sûre."
Effectivement.
Réponse de Jackeey
