Украдены данные миллионов пользователей Android

Приложение, распространяемое через каталог Google Android Market, похитило данные миллионов пользователей и переправило их на некий сервер в Китае. Представить нечто подобное в App Store практически нереально.

На необычное поведение небольшой утилиты Jackeey Wallpaper обратили внимание специалисты компании Lockout, которые занимаются разработкой средств антивирусной защиты для мобильных устройств. В ходе ее изучения оказалось, что за фасадом поиска и загрузки фонов для рабочего стола, Jackeey Wallpaper также собирала всю информацию с аппарата пользователя, до которой только могла добраться. А добраться она могла до многого: журнала браузера, сообщений SMS, телефонный номер, пароли к голосовой почте и прочее прочее. Вся полученная информация отправлялась на сайт www.imnet.us, размещенный где-то в Китае. И это уже не просто проблема, а катастрофа.

Сколько именно людей успело загрузить Jackeey Wallpaper на свое Android-устройство сказать сложно, потому что точную статистику никто не ведет. Однако в самом оптимистичном варианте речь идет об 1,1 миллионе человек, а в худшем раскладе — 4,6 миллионнах.

Самое неприятное для пользователей Android заключается в том, что они никак не застрахованы от повторения подобных случаев. Кардинально побороть эту проблему можно лишь одним путем, по которому идет Apple — ввести суровую цензуру в каталоге и фильтровать все подозрительные приложения. Пойдет ли на это Google, которая всю концепцию системы Android построила на принципах открытости?

Впрочем, даже такая закрытая платформа, как iOS, не застрахована от появления на ней «двуличных» приложений. Последний такой пример имел место на прошлой неделе.

Источник: VentureBeat

Обсуждение

29.07.2010, 15:20
Потому-что за компом и смартом надо не фигней страдать скачивая обойчики, заставочки скринсейверчики кавайные и няшные, а ипользовать их по-назначению.
29.07.2010, 15:40
Все правильно, "наши люди, в булоШную, на такси не ездят" Телефон должен звонИть, а компьютер вычислять и печатать ;)
29.07.2010, 15:41
...и вообще хватит планету засерать )))

А если серьезно, то в любом приложении может оказаться такое. Смотря на какою аудиторию расчитано.
29.07.2010, 16:52
Андроиды начинают захватывать мир :) "да придёт спаситель!"
29.07.2010, 16:57
При установке из Android Market пользователю четко сообщается, к чему именно будет иметь доступ скачанная программа. Если программа скачивания обоев кроме доступа в интернет требует доступ к данным телефона, я бы такую программу не установил. А вот пользователям iPhone ничего не сообщается, они могут полагаться только на цензоров из App Store.
29.07.2010, 18:55
Как показывает практика, цензоры App Store надежнее человеческого фактора.
29.07.2010, 20:02
Mangoose, ну вы же сами написали: "Впрочем, даже такая закрытая платформа, как iOS, не застрахована от появления на ней «двуличных» приложений. Последний такой пример имел место на прошлой неделе."
29.07.2010, 20:25
Mangoose, ну вы же сами написали: "Впрочем, даже такая закрытая платформа, как iOS, не застрахована от появления на ней «двуличных» приложений. Последний такой пример имел место на прошлой неделе."

Абсолютно защищенных систем не бывает :) Но по сравнению с человеческим фактором цензоры App Store надежнее.
29.07.2010, 20:35
Докажи что ты не лох, отправь смс с текстом "я не лох" на номер 4235!!
Если серьезно, то читать надо что программа может делать, а не жамкать на кнопачку "далее" до конца. Ну и категория программы соответствующая, нормальные, юзеры фигней в виде обоев не страдают, они бы враз поняли "что-то тут не то", а гламурасты и чоткие поцики жаждущие персонализации и быть "я не такой как все, у меня модный рингтон и няшные обойчики" это как раз те с кого можно рубить баблос и красть их данные.
29.07.2010, 20:40
Цензоры в App Store и есть человеческий фактор. Но их фактор цензора, очевидно, надёжней фактора пользователя. Не всегда пользователь осознаёт, что разрешая доступ к тем или иным данным телефона, он открывает лаз для партизан. Для софтины, скачивающей обои, ситуация выглядит подозрительной, согласен с kuril. Но где гарантия, что с виду полезная софтина, которой по своему функционалу нужен доступ к перс.данным, не окажется трояном?
29.07.2010, 20:47
Не понимаю, насколько деревянным надо быть пнём, чтобы программе, скачивающей обои дать доступ к телефону.
Насчет человеческих факторов — и те, и другие могут ступить. И цензоры эппстора, и пользователи андроида. Свою голову на плечах всегда надо иметь, когда работаешь с устройством имеющим доступ в сеть.


PS: Сорри за оффтоп. Подскажите нормальную RTS в русском эппсторе... Ей-богу хочется что-то такое на айпэд.
29.07.2010, 22:09
Если серьезно, то читать надо что программа может делать, а не жамкать на кнопачку "далее" до конца. Ну и категория программы соответствующая, нормальные, юзеры фигней в виде обоев не страдают, они бы враз поняли "что-то тут не то", а гламурасты и чоткие поцики жаждущие персонализации и быть "я не такой как все, у меня модный рингтон и няшные обойчики" это как раз те с кого можно рубить баблос и красть их данные.

Ага, опытный пользователь мобильного телефона вообще без gdb и strace за устройство не берётся. Все эти "магазины приложений", на манер репозиториев в различных дистрибутивах linux, сделаны для упрощения установки и повышения безопасности, а уж если я такой чёрт-подери-специалист, проверяющий права, то на кой ляд они мне вообще сдались?

Подскажите нормальную RTS в русском эппсторе... Ей-богу хочется что-то такое на айпэд.

А Red Alert в русском App Store разве нет?
29.07.2010, 22:21
А что такое жтб? Андроидом не пользовался, на симбе при установке есть страничка которая показывает что может делать прога и куда она имеет доступ, если ознакомился жмем далее, если нет - лох гггг
29.07.2010, 22:35
А что такое жтб? Андроидом не пользовался, на симбе при установке есть страничка которая показывает что может делать прога и куда она имеет доступ, если ознакомился жмем далее, если нет - лох гггг

gdb — отладчик. Суть в том, что если я устанавливаю из центрального источника приложений, я ожидаю получить приложение без вредоносных "довесков", также, как я, грубо говоря, нажимаю "доверять содержимому от Microsoft Corp.", устанавливая подписанные продукты. Иначе, в чём смысл этого централизованного источника? Куда удобнее скачивать приложения с сайта разработчика и проверять права таким же образом.
29.07.2010, 22:40
Ну у симбы все подписывается, причем в зависимости от подписи прога может лезть все глубже и глубже в систему. Без подписи хрен чо установишь, а чтобы девелоперу получить право на подпись с затрагиванием отправки смс, например, надо пройти проверочку, но это ломается.
29.07.2010, 22:47
Уж если что-то взломал, то сам себе злобный буратино, а если говорить о механизме цифровых подписей, то этот случай показывает, что в Android Marketplace всё намного проще и этим самым они прострелили себе ногу.
Хотя кого волнуют данные минимум миллиона пользователей, за то твой PR-отдел может на каждом шагу кричать, что у нас свобода, в отличие от злобной Apple, осталось появиться ещё создать пару эксплойтов, используя открытый исходный код и Google научится думать перед тем, как говорит.
30.07.2010, 00:04
masterlich
Есть, но я поиграл у знакомого — если честно, мне не понравилось. Поэтому хочется альтернативы. А их нету(
30.07.2010, 00:21
masterlich
Есть, но я поиграл у знакомого — если честно, мне не понравилось. Поэтому хочется альтернативы. А их нету(

Не знаю как на iPad, но на iPhone мне игра очень понравилась. Видел ещё пошаговые какие-то, вроде бы, довольно интересные, но RTS больше не знаю.
30.07.2010, 11:25
Вот некоторые Permissions из манифеста Evernote:
Your location,
Your personal information (read contact data),
Phone calls (read phone state and identity)
Network communication (full Internet access)
Hardware controls (record audio, take pictures)
И что думать? Что программа считывает контакты, находит интересующие и отслеживает звонки по этим контактам, которые записывает и затем передаёт через Инет - где, с кем и о чём говорили?! Ужас!!!
Оставить сообщение
Обсуждение на форуме целиком