Clever Geek Handbook

データ盗難の疑いがあるアプリケーション

壁紙アプリ ほんの3日前、HabréがJackeey Wallpaperと呼ばれるAndroidベースのデバイス用のアプリケーションについて驚きと inりの波が押し寄せました。これは、ユーザーデータを盗み、何百万人もの人々が配布を停止する前に利用できました。



英語を話すブロガーのアントニオ・ウェルズは、アプリケーションの作者と連絡を取り、これについてインタビューするとともに、実際に発見を報告したLookout社に連絡しました。



将来を見据えて-すべてが最初に述べたとおりではありません。 作者の答えと内部の物語の本質の明確化。 この記事は、androidtappブログからの記事を無料で翻訳したものです。 しかし、彼はそれを自由に翻訳として設計することはできません。 一部の場所では、ナレーションは最初の人、つまり元の記事の著者からのものです。



著者の名前はジャッキー・ウーであり、彼の答えは以下の通りです。



手紙の始まり。



このデータを収集しません

こんにちは、 venturebeat.comのLookoutの CEOが、壁紙プログラムでユーザーデータを収集していると述べたことに気付きました。 また、このデータには、ブラウザの履歴、テキストメッセージ、SIMカード番号、加入者番号、さらにはGoogleボイスメールパスワードも含まれているようです。

すぐに宣言:上記のデータをすべて収集しなかった。



Lookoutは、テキストメッセージの履歴を収集していると述べました。 これはナンセンスです。 開発者がメッセージ履歴にアクセスしたい場合、いくつかのアクセスゾーン(android.permission.READ_SMS、android.permission.RECEIVE_SMS、またはandroid.permission.RECEIVE_MMS)へのアクセスを宣言する必要があることを誰もが知っています。そうしないと、システムは単に対応するAPIを使用できません。 Androidマーケットでは、プログラムがこれらの領域にアクセスする必要があることがわかります。 以下のスクリーンショットは、これらのゾーンへのアクセスを宣言していないことを明確に示しています。 そのため、私のアプリケーションはこのデータを収集できません。



アプリケーション比較






左側には、典型的なメッセージングアプリケーションがあります。 右側にはジャッキーの壁紙があります。



ニュースはまた、私がブラウザの履歴を収集していると言ったが、これもまたナンセンスだ。 ブラウザアプリケーションでAndroidデバイスを確認します。これは、履歴とブックマークが保存されている個人データ(個人情報)へのアクセスを必要とし、宣言します。 私のアプリケーションはそのようなアクセスを必要としません。 また...



他のアプリケーションはより多くのデータを収集しました。

2つの壁紙管理アプリを比較します。 左側の背景アプリケーションでは、8つの異なるゾーンにアクセスする必要があります。 私のアプリケーションは5へのアクセスを必要とし、それらはすべて、Backgroundsアプリケーションによって宣言されたアクセスのリストに含まれています。



アプリケーション比較2








デバイスデータを収集しました

私のアプリケーションでは、ユーザーではなくデバイスに関するデータを収集しました。 画面サイズに関する情報を収集して、最新の解像度で壁紙を提供しました。



デバイスID、電話番号、およびサブスクライバー番号(サブスクライバーID)も収集しましたが、これらはユーザーデータとは関係ありません。 「お気に入り」機能を作成する計画を持ってそれらを収集し、ユーザーの選択を保存してサーバーに同期する必要があります。 また、収集されたデータは一意のユーザーを識別する必要があったため、電話を工場出荷時の設定にリセットした場合、お気に入りを保存して復元することができました。



私は通常の開発者であり、Lookoutまたはventurebeat.comの作者が私のアプリケーションを攻撃した理由はまったく理解できません。



手紙の終わり。



コメントLookout

Lookoutを調査している間、明らかに彼らは質問に答えることができませんでしたが、それでも7月29日に、ブログエントリが次のようにブログに登場しました。

この壁紙管理プログラムが収集するデータは疑わしいものですが、悪意のある動作の証拠が検出されていないことを明確に述べたいと思います。 過去には、アプリケーションがデータを収集するのに少々熱心すぎる場合がありましたが、悪意があるためではありませんでした


7月30日。 LookoutのPRディレクター、Erika Shafferは次のように述べています。

Lookoutは彼の言葉をgiveめません。 誤った情報が配信されていることに気付いたとき、できるだけ早くこのアプリケーションで見つかったものに関するメッセージを公開することができました。 開発者のサーバーは、電話番号、サブスクライバーID、およびボイスメール番号を収集しました。 これは水曜日のプレゼンテーションで述べました。


同じ日に、会社のCEOは次のように付け加えました。

明らかに、会社のレポートは誤解されていました。 明確にしたい-ブログで取り上げたボリュームのデータを収集するアプリケーションを非難しませんでした。

...

既に述べたように、私たちの目標は、セキュリティに関してモバイルアプリケーションの世界で起こっていることにユーザーと開発者の注意を引くことでした。




おわりに



-アブラム・イワノビッチ、オデッサで開拓者がヴォルガの宝くじに当たったのは本当ですか?

-本当に! 開拓者ではなく、年金受給者であり、ヴォルガではなく、自転車であり、勝たずに盗んだ。



ニュースをチェックする必要があるという別のデモ。 作者に静かに働く権利が返されることを願うだけであり、Androidの所有者は、次のプログラムをインストールするときに、おもちゃの三目並べが電話にアクセスする理由を本当に考えさせます。


More articles:


All Articles