DR
- AYANEO confirmou que as mais de 1.000 capturas de tela foram causadas por um bug de cache que será corrigido em breve.
- Os relatórios de alto uso de dados foram um erro de rastreamento causado pelo aplicativo AYAWindow compartilhando um UID com o sistema Android. Confirmamos de forma independente o UID compartilhado.
- Além disso, a nossa análise de segurança independente não encontrou provas de transmissão nefasta de dados ou de partilha de informações privadas.
Ainda ontem, informamos sobre um usuário acusando AYANEO de espioná-los em seu Pocket DS depois de encontrar mais de 1.000 capturas de tela e uso excessivo de dados. O tópico do GitHub finalmente recebeu uma resposta técnica que explicava algumas das descobertas. Podemos agora confirmar que a resposta veio da própria AYANEO. Além disso, também podemos confirmar de forma independente o que o aplicativo está fazendo e, felizmente, não é nefasto.
Não quero perder o melhor de Autoridade Android?
Para começar, AYANEO respondeu ao nosso e-mail com o mesmo comentário visto no GitHub:
Obrigado por investigar isso e levantar a preocupação. Agradecemos os usuários preocupados com a privacidade.
Sobre as capturas de tela:
- O DS possui um recurso de gerenciamento de tarefas de tela dupla que precisa renderizar miniaturas de aplicativos do sistema. Este é um comportamento normal.
- No entanto, há um bug – o cache não está sendo limpo, fazendo com que as capturas de tela se acumulem. Nossa equipe identificou esse problema e tentará corrigi-lo em breve.
Sobre privacidade:
- Essas imagens são pequenas e armazenadas na sandbox do aplicativo, não representando nenhum risco à segurança
- AYA NÃO carrega nenhum desses dados
- Sobre o tráfego de dados: o Android calcula o tráfego pelo UID do Linux. AYAWindow usa o UID do sistema (android.uid.system), portanto, todo o tráfego de aplicativos que compartilham esse UID é contado em conjunto. Você pode verificar outros aplicativos com o mesmo UID (como “Telefone” em Configurações) – eles mostrarão tráfego semelhante. Na verdade, trata-se do uso total do dispositivo, não apenas do AYAWindow.
Compartilharei mais informações com você assim que estiverem disponíveis.
A resposta não traz nenhuma informação nova, além de confirmar implicitamente que o comentário do GitHub foi de um funcionário da AYANEO.
De forma independente, o pesquisador de segurança móvel linuxct confirmou que o aplicativo AYAWindow realmente compartilha o UID com o sistema.
Isso corrobora a afirmação da AYANEO sobre o UID compartilhado.
Além disso, o linuxct analisou estaticamente o aplicativo AYAWindow. Segundo eles, o AYAWindow não parece estar enviando nenhuma informação privada, exceto quando o aplicativo é iniciado pelo usuário, sem nenhuma informação identificável do usuário, e inclui apenas dados semelhantes aos que um serviço equivalente ao Crashlytics enviaria. Os dados enviados estão relacionados à depuração de bugs, ANRs (App Not Responding) e Crashes. Resumindo, AYAWindow não parece estar fazendo nada nefasto ou fora do comum até agora com os dados que está enviando.
Esperamos que AYANEO corrija prontamente o bug de cache para resolver esse problema e fechar este capítulo completamente.
Obrigado por fazer parte da nossa comunidade. Leia nossa Política de Comentários antes de postar.
