Logo ko.androidermagazine.com
Logo ko.androidermagazine.com

보안 회사는 개인 정보 보호 문제를 자세히 설명합니다. 개발자는 우리에게 이야기의 측면을 알려줍니다

차례:

Anonim

요약하자면 수요일 수요일 (또는 목요일 이른 아침) Black Hat 온라인 보안 컨퍼런스에서 나온 Mobile Beat의 기사를보고했습니다. 컨퍼런스에서 모바일 보안 회사 Lookout의 CTO 인 Kevin MaHaffey는 개발자 "jackeey, wallpaper"의 앱에 대해 이야기했습니다.이 앱은 기본적으로 Android 전화 용 월페이퍼를 다운로드하기위한 포털입니다. 이 이야기는 "개인 데이터를 수집하여 중국의 수수께끼의 사이트로 전송하는 의심스러운 안드로이드 모바일 월페이퍼 앱이며 수백만 번 다운로드되었다"는 이야기를 들려 주었다.

우리는 Lookout과 연락을 취해 왔으며 의심스러운 앱이 반드시 악의적 인 것은 아님을 반복합니다. 또한 해당 개발자의 답변이 있습니다. 휴식 후 둘 다에서 업데이트합니다.

감시의 설명

목요일 아침, MaHaffey로부터 "jackeey, wallpaper"앱에 관한 이메일을 받았습니다. 그는 우리의 이야기뿐만 아니라 Mobile Beat 작품에서 다음을 명확하게 설명했습니다.

"우리가 분석 한 월페이퍼 응용 프로그램은 장치의 전화 번호, 가입자 식별자 및 현재 프로그래밍 된 음성 메일 번호를 포함하여 몇 가지 중요한 데이터를 서버로 보내는 것으로 판명되었습니다. 분석 한 응용 프로그램은 장치의 SMS 메시지, 인터넷 사용 기록 또는 음성 메일에 액세스하지 않았습니다. 비밀번호 (사용자가 음성 메일 비밀번호를 포함하도록 기기에서 음성 메일 번호를 수동으로 프로그래밍하지 않은 경우)"

그는 또한 "벽지 앱이 액세스하는 데이터가 배경 화면 앱에서 의심스러워지고 있지만 이러한 애플리케이션이 악성이라고 말하지는 않는다"고 덧붙였다.

블로그 게시물은 방법론을 설명합니다

목요일 오후, MaHaffey는 Lookout의 블로그에 긴 코드 설명을 게시하여 문제의 코드를 자세히 설명하고 문제의 코드가 의심되는 동안 "악의적 인 행동의 증거는 없다"고 반복했습니다. 그리고 그것은 중요한 구별입니다.

그래서 큰 문제는 무엇입니까? MaHaffey가 설명하는 방법은 다음과 같습니다.

"벽지 응용 프로그램에는 중요한 데이터에 액세스하는 코드가 있습니다. 중요한 데이터에 액세스하는 모든 응용 프로그램이 실제로 장치에서 데이터를 전송하는 것은 아닙니다. 바탕 화면 응용 프로그램이 인터넷으로 전송하는 정보의 종류를 확인하려면 응용 프로그램에서 생성 된 네트워크 트래픽을 분석했습니다. 우리가 응용 프로그램을 사용할 때 특히 'imnet.us'라는 서버에 대한 암호화되지 않은 HTTP 요청 중 하나가 눈에 띄었습니다."

개발자가 응답

우리는 오늘 월페이퍼 애플리케이션 개발자와 연락을 취해 앱이 어떤 정보를 수집하고 어떤 정보가 서버로 전송되는지 정확히 물었습니다. (서버가 중국에있는 것은 관련이 없습니다.)

아래의 전체 응답을 읽을 수 있으며 텍스트 메시지와 인터넷 사용 기록이 실제로 수집 되지 않았다는 Lookout의 이전 설명에 의해 그 중 많은 부분이 불분명합니다. 수집 된 내용에 대해 개발자는 다음과 같이 말했습니다.

나는 전화에 더 적합한 배경 화면을 반환하기 위해 화면 크기를 수집했습니다. 점점 더 많은 사용자들이 "배경 화면"조차도 휴대 전화의 화면에 적합하지 않기 때문에 내 월페이퍼 앱을 너무 좋아한다는 이메일을 보냈습니다.

또한 장치 ID, 전화 번호 및 가입자 ID를 수집했으며 사용자 데이터와 관련이 없습니다. 안드로이드 마켓에는 즐겨 찾기 기능이있는 앱이 거의 없습니다. 많은 사용자는이 기능을 사용하여 장치를 식별 할 수 있도록 기능을 제공해야하므로 시스템을 더 편리하게 배경 화면을 좋아하고 시스템을 재설정하거나 전화를 변경 한 후 즐겨 찾기를 다시 시작할 수 있습니다.

그래서 우리가 서있는 곳입니다. 그리고 이것은 반드시 Android에 새로운 것은 아닙니다. 앱은 반드시 필요한 것은 아니지만 악의적 인 의도없이 휴대 전화의 일부에 액세스 할 수 있습니다. (최근에 이러한 "Android 앱의 X %가 개인 데이터를 얻을 수 있습니다 !!!" 이야기가 나온 곳입니다.) 코딩과 의도의 문제 일뿐입니다. 즉, 앱을 설치할 때마다 경고에주의를 기울여야합니다. 예를 들어, 계산기가 문자 메시지를 볼 필요가 있다고 말하면 걱정이됩니다. 많이. 제대로 코딩되지 않은 앱이거나 좋지 않습니다. 어느 쪽이든, 나는 그것을 내 휴대 전화에서 원하지 않습니다.

이것이 모두 FUD입니까? 보안 회사가 조심해야한다고 말하면 조심해야합니다. 보안 회사가 보안 소프트웨어로 돈을 버는 보안 소프트웨어는 우리에게 손실되지 않습니다. 그러나 시간을내어 MaHaffey의 게시물을 다시 읽으십시오. 아래에서 개발자의 답변을 다시 읽으십시오.

이야기의 교훈은 다운로드 한 내용, 마음껏 읽을 수있는 내용, 가장 중요한 내용을 염두에 두는 것입니다. Lookout의 MaHaffey는 "전체적으로 우리의 목표는 모든 모바일 플랫폼에서 사용자와 개발자 모두가 안전한 모바일 환경을 보장 할 책임과주의를 기울 이도록 돕는 것"으로 끝났다고 말합니다.

과연.

재키 응답