Пользователь
0,0
рейтинг
2 августа 2010 в 23:30

Приложение ложно обвинили в краже данных

Wallpaper app Буквально три дня назад пронеслась на Хабре волна удивления и негодования по поводу приложения для устройств на базе Android под названием Jackeey Wallpaper, которое воровало пользовательские данные и которым до приостановки его распространения, успели воспользоваться «millions of people».

Англоязычному блоггеру Антонио Веллсу удалось связаться с автором приложения и взять у него интервью по этому поводу, а также связаться с компанией Lookout, которая, собственно и сообщила о находке.

Забегая наперёд — всё не так, как излагали в начале. Ответ автора и разъяснение сути истории внутри. Статья представляет из себя вольный перевод-пересказ статьи из блога androidtapp. Но он слишком вольный, чтобы оформлять его как перевод. Местами повествование идёт от первого лица — автора оригинальной статьи.

Автора зовут Jackeey Wu и его ответ ниже.

Начало письма.

Я не собираю эти данные

Привет, я заметил что на venturebeat.com СЕО компании Lookout заявил, что я собирал пользовательские данные в моей программке обоев. И данные эти вроде бы содержали историю браузера, текстовые сообщения, номер SIM карты, номер подписчика и даже пароль о Google Voicemail.
Сразу заявляю: я не собирал всех вышеперечисленных данных.

Lookout заявил, что я собирал историю текстовых сообщений. Это чушь. Все знают, что если разработчик хочет иметь доступ к истории сообщений он должен задекларировать доступ к некоторым зонам доступа (android.permission.READ_SMS, android.permission.RECEIVE_SMS, или android.permission.RECEIVE_MMS), иначе система просто не даст ему воспользоваться соответствующим API. И в Android Market будет видно, что программа требует доступ к этим зонам. На снимке экрана ниже прекрасно видно, что я не декларирую доступа к этим зонам. Так что мое приложение никаким образом не может собирать эти данные.

Сравнение приложений

Слева — типичное приложение, работающее с сообщениями. Справа — Jackeey Wallpaper.

В новостях также сказали, что я собирал историю браузера, но это снова-таки нонсенс. Посмотрите на своём Android устройстве на приложение Браузер, которое требует и декларирует доступ к личным данным (Your personal Information) где и хранится история и закладки. Моё приложение не требует такого доступа. Более того…

Другие приложения собирали больше данных

Сравните два приложения по управлению обоями. Приложение Backgrounds слева требует доступ к 8 различным зонам. Моё приложение требовало доступ к 5, и все они также содержатся среди списка доступов, декларируемых приложением Backgrounds.

Сравнение приложений 2


Я собирал данные об устройстве

В своём приложении я собирал некоторые данные об устройстве, а не о пользователе. Я собирал информацию о размере экрана, чтобы предоставлять обои в наиболее актуальном разрешении.

Я также собирал ID устройства, телефонный номер и номер подписчика (subscriber ID), которые не имеют никакого отношения к пользовательским данным. Собирал я их имея в планах создание функционала «избранные», выбор пользователя должен был сохраняться и синхронизироваться на сервер. А собираемые данные должны были идентифицировать уникального пользователя, чтобы можно было сохранять его избранное и восстанавливать в случае сброса настроек телефона к заводским.

Я обычный разработчик и мне абсолютно непонятно зачем Lookout или автор venturebeat.com набросились на моё приложение.

Конец письма.

Комментарии Lookout

Очевидно, что пока я вёл расследование Lookout не могли ответить на возникающие вопросы, но тем не менее уже 29 июля в их блоге появилась запись, гласящая следующее:
Хотя данные, которые собирает эта программка по управлению обоями, и подозрительны, мы хотим чётко заявить, что никаких свидетельств вредоносного поведения обнаружено не было. В прошлом были случаи, когда приложения были немного черезчур рьяными в сборе данных, но не вследствие злостных намерений

30 июля. Erika Shaffer, PR-директора компании Lookout, заявила:
Lookout не отказывается от своих слов. Когда мы заметили, что распространяется некорректная информация, мы так быстро как смогли опубликовали сообщение касательно того, что мы нашли в этом приложении. Сервером разработчика собирались телефонный номер, идентификатор подписчика и номер голосовой почты. Мы заявили это на презентации в среду

В тот же день СЕО компании добавил:
Очевидно, что отчёт компании был неверно трактован. Мы хотим что было ясно — мы не обвиняли приложение в сборе данных более того объёма, что мы осветили в своём блоге.

Как я уже заявлял, нашей целью было обратить внимание пользователей и разработчиков на то, что происходит в мире мобильных приложений в отношении безопасности.


Заключение


— Абрам Иванович, а правда что в Одессе пионер в лотерею Волгу выиграл?
— Правда! Только не пионер, а пенсионер, не Волгу, а велосипед, и не выиграл, а спёрли.


Очередная демонстрация того, что любую новость надо проверять. Остаётся только надеяться, что автору вернут право спокойно работать, а владельцев Android эта история действительно заставит задуматься при установке следующей программы, зачем это игрушке крестики нолики доступ к телефонным вызовам.
Алексей @smartov
карма
232,5
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (70)

  • +32
    порой я думаю что надо как-то контролировать журналистов в плане объективности подачи материала
    • +3
      Но это быстро проходит, т.к. понимаешь что единственный способ контролировать — это ограничивать нежелательные, которые сначала сводятся к непроверенным и ненадёжным, а потом круг расширяется в угоду контролирующих органов и вот уже это выливается в цензуру в полный рост.

      Пусть уж лучше как есть…
      • +1
        да вот — с одной стороны — цензура, которая есть зло без вопросов.

        с другой — случаи подобные данному. ведь по всем блогам прошло «андроид маркит — фигня, в аппстор точно такого не будет».
        незаслуженно пострадал и автор программы, и в целом — репутация андроида.

        а ведь это только один пример. а их масса же
        • +3
          Так как-раз наоборот. В андроид маркете такого не будет, т.к. там видно какие доступы нужны программе, а в Аппсторе недавно был казус, о котором я тоже публиковал статью.
          • 0
            ну подано-то было так как я написал… :)
            каждый трактовал как хотелось…
        • –1
          на здравомыслящих людей такая чушь не работает
    • –3
      Увы если новости сначала проверять то
      — они уже будут не новости а «старости»
      — они будут скучны и банальны, читателям нужны скандалы
    • +18
      Порой я думаю, что за каждую утку им нужно давать по ебалу.

      Сорри за откровенность.
    • +1
      как ни странно, но если включить телевизор то об этом трубят в каждой передаче уже несколько месяцев. если не принимать во внимание возможные реальные мотивы предлагающих, то смысл примерно тот же — если ты назвался журналистом, то будь добр нести ответственность за свои слова. и этот случай лишь маленькая капля в море, чаще приводят случаи когда журналисты публикуют новости о смерти разных известных людей, и тут уже понимаешь что хоть что-то с этим делать надо.
      • 0
        а эта ответственность чисто морально-этическая?
        разве законы о СМИ не предполагают ответственность за дезинформацию?
        • 0
          сми вроде штрафуют, но в интернетах многие ифнормационные ресурсы не являются сми.
    • +3
      Да, и заставлять оглашать опровержение в 10 раз сильнее. То что приложения Андроид собирают информацию для злостных намерений знают все, такие слухи быстро расходятся, а то что обвинили необосновано приложение узнает только часть :-(
    • 0
      Очень просто. Есть обвинение по УК (или что там в их стране): «клевета». В данном случае, правда, журналисты быстро пошли на попятную.
  • –13
    Как не пользовался такой программой до шумихи, так и не собираюсь после неё.
    Разработчик конечно тоже молодец. При человеческом обновлении из маркета всё равно заново показывают, какие привилегии программа хочет получить. Вот реализовал бы свои наполеоновские планы — тогда и честно требуй свои пять пунктов, а не запасай инфу впрок.
    • +6
      Как не пользовался такой программой до шумихи, так и не собираюсь после неё.

      Это всё, что вы вынесли из статьи?
      А как вы относитесь к переписке Энгельса с Каутским?
      • –1
        Нет, это всё, что я вынес из конкретно данной разработки. Если берёшься делать программу с таким обширным функционалом (по крайней мере, с такими планами на будущее развитие), то делать всё же лучше постепенно: что-то реализовал, посмотрел на фидбэк, дописал ещё функцию, выложил снова на обозрение.
        • –1
          Написал программу, выводящую «Hello World!» в качестве обоев, посмотрел на фидбэк, и если он положительный, то реализовал возможность устанавливать любую картинку на выбор — так? :)
          • 0
            Конечно лучше писать программу, которая ставит любые обои, собирая пользовательские данные.
            А потом и смотри на фидбэк, если запалили бдительные пользователи — оправдываемся, если нет — пишем дальше. Этот вариант, как видим, ближе к реальности. ;)
      • –1
        Если Вы об этой переписке, то я, напирмер, отношусь положительно :)
  • +2
    Интересно, откуда такая агрессия тогда возникла со стороны Lookout и venturebeat.com?
    Чем им так насолил разработчик, что они так резко и необоснованно оклеветали его?
    • +4
      Я подумал, что эта вся шумиха была организована докторвэбовцами, которые недавно начали тестировать бетку антивируса под андроид. Надо же людям как то показать что антивирус все же нужен :)
  • 0
    — Абрам Иванович, а правда что в Одессе пионер в лотерею Волгу выиграл?

    Ну нельзя же так с классикой обращаться! Настоящий ответ (вопрос, кстати, тоже немного другой):

    Не «Волгу», а три рубля, не выйграл, а проиграл, и не в лотерею, а в преферанс.
    • +17
      Помилуй Бог. Вариантов этого анекдота столько, сколько людей в Одэссе :)
      • +3
        Вариантов много, но есть классический вариант! К тому же тут, во-первых, сохранена логика «выйграл-проиграл», сперли — не катит, а, во-вторых, «преферанс» — примета времени.
        • 0
          Спорить не буду :) Вы родом из Одессы?
          • +6
            Нет, я просто старый и помню.
        • +3
          Слово «выИграл» пишется через И, от слова Игра. Вы ж второе слово не написали «проЙграл». Подставляйте слова с нужной ударной гласной для проверки: выИгрывать. Это какой-то бич современный, что слова с дифтонгами со второй гласной И пишут через «й».
          • 0
            У меня, наверное, старый бич. Спасибо, учту.
          • +3
            Я вообще-то согласен с Вами… меня тоже выводит из душевного равновесия всякие «симПОТичные» писатели… Но Вы уж простите, никак не могу удержаться :)
            • +1
              А уж как выводит из равновесия слово «попробывал»…
          • НЛО прилетело и опубликовало эту надпись здесь
          • +2
            > Слово «выИграл» пишется через И, от слова Игра.
            > Вы ж второе слово не написали «проЙграл».

            Да ты просто выйбал его за одну ошибку!
      • 0
        Насколько знаю, название города произносится через мягкое «Е», а через твёрдое «Э», как вы написали, — тамошнее крепкое матерное слово :)
        • 0
          Глупости. Послушайте песню «Шаланды полные кефали» в исполнении Утёсова.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –9
      Фантазер.
  • –22
    А все говорят Стив Джобс с антеннами отмазывается.
    бла-бла-бла, Андроид тоже хорош:-)
    • НЛО прилетело и опубликовало эту надпись здесь
      • –18
        Да ладно? Анальный господин закрывает вам вид? Не видите сходный маневр в этих кусах текста: «у других тоже сигнал теряет» и «другие собирают больше»?
        • +5
          Молодец! Вот это я понимаю. Сразу видно 3 место в отхабренных. Рука мастера. Не толсто и обращение на вы. ЛОР бы уже бился в истерике.

          Жаль что я не могу оценить суть и прелесть развлечения «сетевой троллизм».
          • –6
            Так это я что, затроллил всех в этом топике уже?
        • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          >Не видите сходный маневр в этих кусах текста: «у других тоже сигнал теряет» и «другие собирают больше»?

          Не вижу.
        • 0
          Немного поясню, если кому-то вдруг анальный господин закрывает вид непонятно:

          В то время, как дядя Стиви говорит «а у других тоже», автор данной программы говорит: «когда программа собирает такие-то данные, то она просит соответствующие разрешения. К примеру, вот такая-то программа. Видите, она запрашивает доступ СМС? А моя — не запрашивает, поэтому доступа к этим данным получить не может».

          Если Вы в этом умудрились увидеть «а другие собирают больше», то Вам явно кто-то выкусил мозг, чтобы голова больше походила на логотип Apple.
    • –1
      Че подлизаторы кармы минусуют как всегда?)Ггг)
  • +4
    По-моему Lookout просто решила таким дешевым способом попиариться.
  • 0
    Что и требовалось доказать. Даже по подаче материала было видно, что информация параноидальная. Зато сколько паникеров сразу…
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Статья. Андроид. Маркет. Список разрешений. Вы их сами даёте.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +1
          Нет. Есть возможность увидеть, что программа для управления рабочими столами требует доступ к телефонному номеру и идентификатору подписчика и не ставить эту программу.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +3
              У вас есть какие-то предложения?

              Давайте допустим что можно отключить. Это остановит вашего отца от тыканья в эту программу и всё равно есть проблема?

              Окей. Давайте даже предположим что будет предварительная настройка и вы настроили так, что никакой программе нельзя пользоваться некими зонами, кроме перечисленных.

              Ваш отец ставит новую прогу, в начале работы она говорит что избранное не будет работать, если не включить вон ту функцию. Он не включит? Снова таки проблема не решена.

              СмартФоны не предполагают качестве пользователя белого и пушистого ламера. Без понимания того что делаешь никуда — можно лоб расшибить. Если совсем нет понимания — нужно пользоваться обычными телефонами либо кто-то должен менеджить софт за этого человека.
              • НЛО прилетело и опубликовало эту надпись здесь
                • +1
                  Как пользователю, мне не нравится подход «не нравится — не жри». Мне нравится программа, но вот данные о себе я сообщать не хочу.

                  Как пользователь я с вами абсолютно согласен. :)
        • 0
          А андроид советую — бомба. Тем более что сейчас появилось очень неплохое бюджетное решение LG GT 540.
          • 0
            Подождать чутка еще и будут получше модели за те же деньги. С резистивным экраном и без стилуса не очень хорошо живется.
            • +1
              Отлично живётся. У меня такой.
              • 0
                Может я тогда путаю с WM своим, там даже большие кнопки не срабатывают от пальца временами и времена эти часто.
                • 0
                  Именно! WM — это милипиздрический UI. Я с X1 на Hero перешел. По стилусу не скучаю :)
                  • 0
                    Ну знакомый на tatoo как оказалось не жалуется, потыкал, да, реакция нормальная, видимо либо драйверная обработка иная (в смысле между WM и Android), либо еще что-то.
      • +2
        Ночь, улица, фонарь, аптека?
    • 0
      Именно это оно и делает — спрашивает разрешение. Вон же скрины в статье, перед самой установкой приложения можно увидеть, что оно обращается к Phone calls и т.д. Тут и должен возникнуть логичечкий вопрос — какого хрена? Зачем волпаперам то-то и то?! Нафиг надо. Закрываем страницу с игрой, забываем навсегда и шаримся дальше по Маркету.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Я с Вами согласен!

          К сожалению, таких «супер» механизмов Google не реализовал. Я говорю об ограничении в 325 символов в описании приложения. Если бы его не было — каждый разработчик мог бы в описании обьяснить и расписать все фичи, проблем стало бы меньше.
  • +1
    Ворует, не ворует, нашли журналисты что раздувать, на самом деле очень много софта требует ненужных им разрешений, я такие не ставлю вообще. Если софтина серьезная, то обычно с разрешениями все нормально.
    • +1
      Почти каждая софтина, где есть реклама требует интернет и определение местоположения. Это, безусловно, просчёт гугла, надо было делать отдельный рекламный API.
      • +1
        С этим согласен, отдельный API решил бы проблему очень хорошо.
  • –5
    Кстати, крестикам-ноликам скорее всего надо иметь доступ к телефонным вызовам, да и всем остальным программам, чтобы правильно завершать/приостанавливать свою работу на случай когда вдруг кто позвонит (:
    • +2
      Останавливать работу одних приложений, послав им соответствующий сигнал, и передавать фокус другим — это задача ОС, а не конкретного приложения. Т.е. всё это должно управляться за пределами приложения. Приложение просто должно корректно обрабатывать внешние системные сигналы.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.