جدول المحتويات:
دعونا نلخص: في وقت متأخر من ليلة الأربعاء (أو في وقت مبكر من صباح الخميس) ، أبلغنا عن قصة نشرت في Mobile Beat والتي خرجت من مؤتمر Black Hat الأمني عبر الإنترنت. في المؤتمر ، تحدث كيفن ماهافي ، مدير تقنية الاتصالات في شركة لوكاوت لأمان الهواتف المحمولة ، عن تطبيق من المطور "jackeey ، ورق جدران" ، والذي يعد في الأساس بوابة لتنزيل خلفيات الهاتف لهاتف Android. أخبرت القصة حكاية "تطبيق خلفية للجوال على نظام Android مشكوك فيه يجمع بياناتك الشخصية ويرسلها إلى موقع غامض في الصين ، (و) تم تنزيله ملايين المرات."
لقد كنا على اتصال بـ Lookout - الذي يكرر التأكيد على أن التطبيقات ، على الرغم من المشتبه فيها ، ليست بالضرورة ضارة. لدينا أيضًا استجابة من المطور المعني. تحديثات من كليهما ، بعد الفاصل.
توضيح Lookout
في وقت مبكر من صباح الخميس ، تلقينا رسالة بريد إلكتروني من MaHaffey فيما يتعلق بتطبيقات "jackeey ، ورق الحائط". لقد أوضح ما يلي من قطعة Mobile Beat ، وكذلك قصتنا:
"أثبتت تطبيقات الخلفية التي قمنا بتحليلها أنها ترسل عدة أجزاء من البيانات الحساسة إلى خادم ، بما في ذلك رقم هاتف الجهاز ومعرف المشترك ورقم البريد الصوتي المبرمج حاليًا. التطبيقات التي قمنا بتحليلها لم تصل إلى رسائل SMS الخاصة بالجهاز أو سجل التصفح أو البريد الصوتي كلمة المرور (ما لم يبرم المستخدم يدويًا رقم البريد الصوتي على الجهاز لتضمين كلمة مرور البريد الصوتي)."
وأضاف أيضًا "في حين أن البيانات التي تصل إليها تطبيقات الخلفية هي بالتأكيد مشبوهة من تطبيقات خلفية ، فإننا لا نقول أن هذه التطبيقات ضارة."
يشرح منشور المدونة المنهجية
بعد ظهر يوم الخميس ، نشر MaHaffey شرحًا مطولًا على مدونة Lookout ، يعرض بالتفصيل الكود المعني ويكرر التأكيد على أنه على الرغم من أن الكود المعني مشكوك فيه ، "لا يوجد دليل على وجود سلوك ضار". وهذا تمييز مهم يجب القيام به.
ذلك ما الصفقة الكبيرة؟ إليك كيف يشرح MaHaffey الأشياء:
"يوجد رمز في تطبيقات الخلفية يصل إلى البيانات الحساسة. من المهم الإشارة إلى أنه ليس كل التطبيقات التي تصل إلى البيانات الحساسة تنقلها فعليًا من الجهاز. من أجل معرفة نوع المعلومات التي ترسلها تطبيقات الخلفية إلى الإنترنت ، نحن تحليل حركة مرور الشبكة الناتجة عن التطبيق ، وعندما استخدمنا التطبيق ، برز طلب واحد على وجه التحديد ، وهو طلب HTTP غير مشفر إلى خادم باسم "imnet.us"."
المطور يستجيب
لقد كنا على اتصال بمطور تطبيقات الخلفية اليوم وسألنا بالضبط عن المعلومات التي تجمعها التطبيقات ولماذا سيتم إرسال أي معلومات إلى الخادم. (من المحتمل أن يكون الخادم في الصين غير ذي صلة).
يمكنك قراءة الاستجابة بأكملها أدناه ، والتي يتم تقديم جزء كبير منها بواسطة التوضيح السابق لـ Lookout بأن الرسالة النصية وسجل التصفح لم يتم جمعهما بالفعل. بالنسبة لما تم جمعه ، أخبرنا المطور بما يلي:
جمعت حجم الشاشة للعودة خلفية أكثر ملاءمة للهاتف. أرسل لي المزيد والمزيد من المستخدمين عبر البريد الإلكتروني لإخبارهم أنهم يحبون تطبيقات ورق الحائط الخاصة بي كثيرًا ، لأنه حتى "الخلفية" لا يمكن أن تناسب شاشة الهاتف.
جمعت أيضًا معرف الجهاز ورقم الهاتف ومعرف المشترك ، وليس له أي علاقة مع بيانات المستخدم. هناك عدد قليل من التطبيقات في سوق أندرويد لديه ميزة المفضلة. يقترح العديد من المستخدمين أنه ينبغي علي توفير الميزة حتى أستخدمها لتعريف الجهاز ، حتى يتمكنوا من تفضيل الخلفيات بشكل أكثر ملاءمة ، واستئناف المفضلة بعد إعادة ضبط النظام أو تغيير الهاتف.
لذلك ، هذا هو المكان الذي نقف فيه. وهذا ليس بالضرورة شيئًا جديدًا لنظام Android. يمكن للتطبيقات الوصول إلى أجزاء من هاتفك لا يحتاجون إليها بالضرورة ، ولكن دون أي ضرر مقصود. (هذا هو المكان الذي ظهرت فيه قصص "X بالمائة من تطبيقات Android على بياناتك الشخصية !!!") إنها مجرد مسألة ترميز ونية ، أليس كذلك؟ ومع ذلك ، فأنت بحاجة إلى الانتباه إلى التحذير الذي تحصل عليه في كل مرة تقوم فيها بتثبيت تطبيق. مثالنا السابق صحيح: إذا قلنا ، على سبيل المثال ، أن الآلة الحاسبة تحتاج إلى رؤية رسائلي النصية ، فأنا سأقلق. كثير. إما أن يكون تطبيقًا مشفرًا بشكل سيئ ، أو أنه ليس جيدًا. في كلتا الحالتين ، أنا لا أريد ذلك على هاتفي.
هل هذا كله FUD؟ عندما تقول شركة أمنية إننا بحاجة إلى أن نكون حذرين ، فإننا نتوخى الحذر - وحقيقة أن شركة أمنية تصنع برامجها الأمنية لبيع الأموال لا تضيع علينا. لكن خذ وقتك وقراءة منشور MaHaffey مرة أخرى. وقراءة استجابة المطور مرة أخرى أدناه.
إن مغزى القصة هو مراعاة ما تقوم بتنزيله ، وقراءته قدر الإمكان ، ومتابعة الأشياء. يقول MaHaffey من Lookout كذلك ، وينتهي بـ "بشكل عام ، هدفنا هو مساعدة المستخدمين والمطورين على حد سواء في جميع منصات الهواتف المحمولة على تحمل المسؤولية واليقظة في ضمان تجربة آمنة للهاتف المحمول."
في الواقع.
جاكي الاستجابة
![Runkeeper لنظام Android [مراجعة التطبيق]](https://img.androidermagazine.com/img/software-reviews/649/runkeeper-android.jpg "Runkeeper لنظام Android [مراجعة التطبيق]")
