Pravidelný občasník originálního humoru

Android aplikace sbírala údaje milionů uživatelů! Skutečnost je jiná

Autor chlívek (G1 Android) - vydáno 9.8.2010

Minulý týden se v médiích objevila zpráva o aplikaci pro Android (pozadí na plochu), která měla sbírat osobní informace (milionů) uživatelů. Nakonec je ale (asi) všechno jinak. A online žurnalistika opět ukázala jak snadno skočí na cokoliv, neověřuje a fabuluje.


Těžko říct, kam vlastně zařadit tuhle událost. Jestli mezi záležitosti ochrany soukromí a hrozícího nebezpeční z příliš inteligentních mobilních telefonů, nebo mezi další ukázku toho, že žurnalistika se mění. A věci zveřejněné se šíří rychlostí nevídanou an všechny strany, bez ohledu na to, nakolik jsou pravdivé či nikoliv.

Android - Phone Calls PermissionMinulý týden se v médiích objevila informace o nebezpečné aplikaci pro Android - pozadí na plochu si při instalaci vyžádala svolení pro přístup k "phone calls" a poté odesílala informaci o zařízení - identifikaci telefonu (IMSI), telefonní číslo, region a číslo hlasové počty na web autora aplikace. K panice přispělo i to, že šlo o www.imnet.us - ve skutečnosti se cnacházející v Číně. A odesílání podobných informací je hodně podezřelé. Některé média navíc přidala typickou kreativitu a psala, že odesílány jsou i SMSky a historie prohlížeče. A něco takového se pochopitelně šířilo velmi rychle a všude.

A vpodstatě bez ohledu na to, že Lookout, objevitelé chyby, vůbec některé ze šířených "informací" neposkytli - zejména ne to, že by aplikace zneužívala SMSky či hostorii prohlížeče. Později to vedlo k tomu, že Lookout vydal Update and Clarification of Analysis of Mobile Applications at Blackhat 2010, ve kteérm se snaží věci upřesnit. Vcelku marně.

Google zablokoval aplikaci. A odblokoval aplikace

Google na šířící se paniku zareagoval zablokováním aplikace. A o týden později prohlášením, že aplikace byla zkontrolována a znovu povolena.

"The developer’s applications have been reviewed and the suspension has been lifted."

A vývojáří aplikace (Jackeey, Wallpaper - Iceskysl - callmejack) Google napsal, že šetření nenašlo žádný škodlivý kód, ačkoliv přistupuje k datům, která nepotřebuje. A doporučila vývojáři, aby aplikaci změnil tak, aby minimalizoval požadovaná práva a shromažďování informací.

"Our investigation has concluded that there is no obvious malicious code in your apps, though the implementation accesses data that it doesn’t need to."

Podle vývojáře byla data shromažďována záměrně - jednak s ohledem na uživatele, kteří přišli o aplikaci v okamžiku změny telefonu. Druhak proto, že je využívá pro lepší navrhování pozadí na plochu.  Příklad odesílaných informací (Zdroj: Lookout) můžete vidět zde:

sim_serial_number=89014103211118510720
subscriber_id=310260000000000
line1_number=15555218135
voice_mail_number=+15552175049

Není škodlivá, je jenom podezřelá

"Android Wallpaper" aplikace využívá přitom klasické metody jak se rozšířit co nejvíce - existuje v desítkách verzí, aby pravděpodobnosti nalezení a instalace byla co největší.  Lookout uvádí, že analyzovali skoro osmdesát takovýchto aplikací od "Jackeey" autora. A také že některé z nich tyto informace nevyžadují. Zábavné, svým způsobem, je i to, že v průběhu "aféry" se "Jackeyy, Wallpaper" přejmenoval a změnil i kontaktní e-mail. Podezřelého bych na tom neviděl vcelku nic - předpokládám totiž, že bombardování e-maily od novinářů i rozčílených uživatelů moc zábavné nebylo.

"Podezřelé" tohle všechno je. A pokud si ještě uvědomíte, že zmíněná aplikace byla stažena mezi jedním až čtyřmi (1.1 až 4.6) miliony stažení, tak to poukazuje na nebezpečnost nadměrného požadování práv přístupu k informacím v telefonech. A kdo z uživatelů se věnuje čtení toho, co vlastně výše zobrazená "obrazovka" obsahuje? Většina uživatelů prostě odklepne to co je jim předloženo. A řada z nich ani netuší co "Phone calls - read phone state and identity" znamená.

Byla panika nutná?

Vedle ukázky potenciálního nebezpečí pro soukromí je celá událost poučná (opět) pro online žurnalistiku. Málokterý ze serverů se obtěžoval ověřit zveřejňované informace, někteří si k informacím přidávali vlastní neověřené a ničím nepodložená rozšíření. Podezřelá aplikace, server v Číně, záhadný čínský vývojář - to všechno zjevně zafungovalo jako spolehlivý spouštění mechanismus.

Na počátku většiny šířených nesmyslů stojí podle všeho VentureBeat článek. A díky Internetu jste mohli vcelku snadno sledovat, jak se smyšlenky a výmysly šířily na další a další místa - The Wall Street Journal, CNET, Fast CompanyFortune, PC WorldComputerworld, GizmodoAppleInsider (Techmeme vlákno). Obtěžoval se někdo kontaktovat autora? Ale ano, Android Tapp má v Android Wallpaper Apps Falsely Accused of Spyware and Stealing Sensitive User Data [FUD] jeho vyjádření. A vcelku oprávněně se strefuje do neschopnosti ostatních.

Poučné. Z mnoha pohledů.

Štítky : Android, Google Android, Android Aplikace, Bezpečnost, Ochrana soukromí, Soukromí, Mobilní telefon, Mobilní aplikace, Lookout, Žurnalistika, Venturebeat.com




Poslední změna : 9.8.2010 09:19, Vytvořen : 9.8.2010 09:19, Vydán : 9.8.2010, 14586x

Komentáře pro ty z Facebooku

Aktuální články autora

Související články



REKLAMA

Články e-mailem

Stačí zadat e-mail

a Feedio se už o vše postará

POOH.CZ na sociálních sítích