Development for Android
August 2010 2

Приложение ложно обвинили в краже данных

Wallpaper app Буквально три дня назад пронеслась на Хабре волна удивления и негодования по поводу приложения для устройств на базе Android под названием Jackeey Wallpaper, которое воровало пользовательские данные и которым до приостановки его распространения, успели воспользоваться «millions of people».

Англоязычному блоггеру Антонио Веллсу удалось связаться с автором приложения и взять у него интервью по этому поводу, а также связаться с компанией Lookout, которая, собственно и сообщила о находке.

Забегая наперёд — всё не так, как излагали в начале. Ответ автора и разъяснение сути истории внутри. Статья представляет из себя вольный перевод-пересказ статьи из блога androidtapp. Но он слишком вольный, чтобы оформлять его как перевод. Местами повествование идёт от первого лица — автора оригинальной статьи.

Автора зовут Jackeey Wu и его ответ ниже.

Начало письма.

Я не собираю эти данные

Привет, я заметил что на venturebeat.com СЕО компании Lookout заявил, что я собирал пользовательские данные в моей программке обоев. И данные эти вроде бы содержали историю браузера, текстовые сообщения, номер SIM карты, номер подписчика и даже пароль о Google Voicemail.
Сразу заявляю: я не собирал всех вышеперечисленных данных.

Lookout заявил, что я собирал историю текстовых сообщений. Это чушь. Все знают, что если разработчик хочет иметь доступ к истории сообщений он должен задекларировать доступ к некоторым зонам доступа (android.permission.READ_SMS, android.permission.RECEIVE_SMS, или android.permission.RECEIVE_MMS), иначе система просто не даст ему воспользоваться соответствующим API. И в Android Market будет видно, что программа требует доступ к этим зонам. На снимке экрана ниже прекрасно видно, что я не декларирую доступа к этим зонам. Так что мое приложение никаким образом не может собирать эти данные.

Сравнение приложений

Слева — типичное приложение, работающее с сообщениями. Справа — Jackeey Wallpaper.

В новостях также сказали, что я собирал историю браузера, но это снова-таки нонсенс. Посмотрите на своём Android устройстве на приложение Браузер, которое требует и декларирует доступ к личным данным (Your personal Information) где и хранится история и закладки. Моё приложение не требует такого доступа. Более того…

Другие приложения собирали больше данных

Сравните два приложения по управлению обоями. Приложение Backgrounds слева требует доступ к 8 различным зонам. Моё приложение требовало доступ к 5, и все они также содержатся среди списка доступов, декларируемых приложением Backgrounds.

Сравнение приложений 2


Я собирал данные об устройстве

В своём приложении я собирал некоторые данные об устройстве, а не о пользователе. Я собирал информацию о размере экрана, чтобы предоставлять обои в наиболее актуальном разрешении.

Я также собирал ID устройства, телефонный номер и номер подписчика (subscriber ID), которые не имеют никакого отношения к пользовательским данным. Собирал я их имея в планах создание функционала «избранные», выбор пользователя должен был сохраняться и синхронизироваться на сервер. А собираемые данные должны были идентифицировать уникального пользователя, чтобы можно было сохранять его избранное и восстанавливать в случае сброса настроек телефона к заводским.

Я обычный разработчик и мне абсолютно непонятно зачем Lookout или автор venturebeat.com набросились на моё приложение.

Конец письма.

Комментарии Lookout

Очевидно, что пока я вёл расследование Lookout не могли ответить на возникающие вопросы, но тем не менее уже 29 июля в их блоге появилась запись, гласящая следующее:
Хотя данные, которые собирает эта программка по управлению обоями, и подозрительны, мы хотим чётко заявить, что никаких свидетельств вредоносного поведения обнаружено не было. В прошлом были случаи, когда приложения были немного черезчур рьяными в сборе данных, но не вследствие злостных намерений

30 июля. Erika Shaffer, PR-директора компании Lookout, заявила:
Lookout не отказывается от своих слов. Когда мы заметили, что распространяется некорректная информация, мы так быстро как смогли опубликовали сообщение касательно того, что мы нашли в этом приложении. Сервером разработчика собирались телефонный номер, идентификатор подписчика и номер голосовой почты. Мы заявили это на презентации в среду

В тот же день СЕО компании добавил:
Очевидно, что отчёт компании был неверно трактован. Мы хотим что было ясно — мы не обвиняли приложение в сборе данных более того объёма, что мы осветили в своём блоге.

Как я уже заявлял, нашей целью было обратить внимание пользователей и разработчиков на то, что происходит в мире мобильных приложений в отношении безопасности.


Заключение


— Абрам Иванович, а правда что в Одессе пионер в лотерею Волгу выиграл?
— Правда! Только не пионер, а пенсионер, не Волгу, а велосипед, и не выиграл, а спёрли.


Очередная демонстрация того, что любую новость надо проверять. Остаётся только надеяться, что автору вернут право спокойно работать, а владельцев Android эта история действительно заставит задуматься при установке следующей программы, зачем это игрушке крестики нолики доступ к телефонным вызовам.

+109
7.1k 4
Comments 70
Top of the day