W ostatnim czasie wiele znanych portali pisało o tapetach, które gromadzą poufne dane z telefonu i przesyłają do tajemniczej strony w Chinach. Strona mobile.venturebeat.com opisuje cały proces dosyć szczegółowo.
Aplikacja pochodziła od firmy Jackeey Wallpaper i była dostępna w Android Market. Według danych mogła być pobrana od 1100000 do 4,6 mln razy. Niestety Market nie oferuje dokładnych statystyk. Aplikacje tej firmy zawierały między innymi tapety z My Little Pony i Star Wars. Według Lookout, firmy, która odkryła ten incydent, tapety miały gromadzić najbardziej poufne dane z naszego systemu. Według nich aplikacje nie przechwytują historii przeglądania i wiadomości tekstowych. Natomiast inaczej ma się już sprawa z numerami telefonu, identyfikacją abonenta tak długo, jak są tapety zainstalowane w telefonie. Następnie dane te wysyłane są do witryny www.imnet.us. Jest ona własnością kogoś w w Shenzhen w Chinach.
Biorąc pod uwagę wszystkie te zarzuty pod adresem dewelopera można czuć się mało bezpiecznym. Na pewno nikt z nas nie chciałby aby jego dane trafiły w ręce osób trzecich. Jednak większość portali opisujących ten problem nie pofatygował się i nie zapytał o całą sprawę twórcy tych aplikacji. Nikt mu nie dał szansy na odparcie tego ataku. Nikt poza www.androidtapp.com. Zamieścili oni wywiad z osobą, która pisała omawiane aplikacje.
Jak można wyczytać z wywiadu, autor odpiera kilka zarzutów skierowanych w jego osobę przez prezesa Lookout. Na stronie mobile.venturebeat.com zarzucano mu, że aplikacja zbiera też informacje z wiadomości tekstowych. Po tym jak autor temu zaprzeczył i autorzy tekstu potwierdzili, tekst na mobile.venturebeat.com został trochę zmodyfikowany. Jak sam autor potwierdza, aby mieć dostęp do wiadomości tekstowych użytkownika potrzebne jest jego oświadczenie:
android.permission.READ_SMS, android.permission.RECEIVE_SMS lub android.permission.RECEIVE_MMS. Tych uprawnień nie wymaga opisywana aplikacja co można sprawdzić samemu. Dla przykładu zdjęcie poniżej:
Z portalu została też usunięta informacja, która mówi o zbieraniu danych z przeglądarki internetowej. Według Lookout pobierana była historia przeglądania i całe zakładki. Co też jest nieprawdą jeśli spojrzymy na zdjęcie powyżej.
Autor porównał swoją aplikację do innych bardzie popularnych. Do poprawnego działania wymaga tylko 5 zezwoleń, natomiast inne powyżej 7. Idąc dalej, deweloper odpowiada, że zbierane były tylko informacje na temat samego urządzenia, nie danych użytkownika. Jak sam twierdzi, zostały zbierane rozdzielczości ekrany (by móc dopasować w przyszłości wielkość tapet), id telefonu, nr telefonu i id abonenta.
Firma Lookout potwierdziła, że dalej będzie badać tą sprawę i ma nadzieje, że deweloper nie miał złych zamiarów. Natomiast Google zablokowało omawianą aplikację z tapetami do czasu, aż wyjaśni się sprawa.
Najlepszą obroną przed atakami jest po prostu ostrożność. Zapraszamy do rozmowy na temat bezpieczeństwa w Androidzie na forum.