Video: Ce aplicații îți virusează telefonul - Cavaleria.ro (Octombrie 2024)
Când scriu despre securitatea Android, am tendința să văd o mulțime de aceeași problemă de mai multe ori (SSL, băieți! Haide!). L-am rugat pe CEO-ul Widdit Noam Fine și pe șeful dezvoltării mobile Nir Orpaz să explice de ce dezvoltatorii Android fac alegerile de securitate pe care le fac și ce trebuie făcut mai bine după ce au făcut față unei crize de securitate.
O lipsă de cunoștințe
De la a vorbi cu dezvoltatorii Widdit, pare să existe o deconectare între jucătorii din ecosistemul Android. "Utilizatorul nu este suficient de educat pentru a privi ceea ce adaugă la telefonul lor", a spus Fine. „Nu sunt sigur că toată lumea îi pasă atât de mult”.
Pe de altă parte, dezvoltatorii nu știu întotdeauna riscurile pe care le pot reprezenta aplicațiile lor. „Dezvoltatorii nu înțeleg pe deplin că ceea ce transmit ei sunt informații personale”, a spus Orphaz. Fine a fost de acord, spunând că nu există reguli dure și rapide despre informațiile care erau cu adevărat „personale”.
O altă problemă o reprezintă agenții de publicitate terți care plătesc dezvoltatorilor să includă kituri de dezvoltare software (SDK) în aplicațiile lor pentru a colecta informații despre utilizatori. Agenții de publicitate pot compila date din mai multe aplicații în dosare șocante detaliate. De exemplu, o aplicație poate solicita vârsta dvs., iar alta pentru numele dvs., dar același agent de publicitate ar putea avea de-a face cu ambele.
Este demn de remarcat faptul că Widdit este unul dintre dezvoltarea aplicațiilor și publicitate. Ei dezvoltă o platformă SDK care poate fi introdusă în aplicații, astfel încât dezvoltatorul aplicației poate câștiga bani din creațiile lor.
În concluzie, lipsa de educație a utilizatorilor pune în siguranță complet dezvoltatorii. "Dacă îți pasă reputația ta, investești mult efort în menținerea acesteia. Aceasta înseamnă că practicile tale de afaceri sunt la fel de mult ca și practicile de securitate", a spus Fine. El a încurajat dezvoltatorii să se gândească cu atenție înainte de a se înscrie cu agenții de publicitate și de a instala SDK-urile în aplicațiile lor. El a încurajat, de asemenea, dezvoltatorii să examineze permisiunile cerute de SDK-uri înainte de a le activa în aplicația lor. "Dacă dumneavoastră ca dezvoltator nu ați cerut acele permisiuni, sunteți dispus să dați SDK-urile respective?"
Dezvoltarea în siguranță
Atât Fine cât și Orphaz au spus că a vorbi despre securitate a fost un lucru, dar implementarea ei în aplicații a fost cu totul alta. Menținerea unei conexiuni SSL criptate pentru transmiterea informațiilor este o practică bună, dar care poate fi o provocare pentru micii dezvoltatori. „Trebuie să obțineți un server SSL și, uneori, nu este un lucru ușor de obținut”, a explicat Orpaz. Am văzut multe companii criticate pentru reducerea sau manipularea greșită a SSL.
Unele vulnerabilități se extind chiar și din cele mai de bază funcții. De exemplu, Fine a indicat permisiunea Android care permite aplicațiilor să se conecteze la Internet. "Acest lucru face orice dezvoltator", a spus Fine. "Odată ce te-ai conectat la rețea, aceasta este imediat o vulnerabilitate."
El a încurajat dezvoltatorii să folosească bunul simț și să mapeze riscurile potențiale ale funcțiilor pe care le includ în aplicațiile lor, precum și să strângă informații despre utilizatori. „Dacă faceți acest lucru, trebuie să vă opriți și să vă gândiți„ ce fac pentru a minimiza riscurile? ”, A spus Fine. „Nu sunt sigur că majoritatea dezvoltatorilor fac asta”.
First Hand Experience
Widdit a avut propriile sale probleme de securitate, pe care le-am raportat într-o postare recentă a lunii Mobile Threat. Sistemul lor folosește codul SDK din aplicație, care apelează zilnic la un server de la distanță pentru a descărca o actualizare la telefonul Android. Cercetătorii de securitate au semnalat-o ca fiind periculoasă, deoarece comunicarea a fost gestionată fără o conexiune SSL, permițând astfel unui atacator să intercepteze fișierul și să îl înlocuiască cu unul rău intenționat.
Fine și Orphaz au subliniat că știau problema înainte de a fi anunțată de cercetători și au planificat deja remedierea acesteia în viitor. "Această vulnerabilitate a fost percepută ca având o probabilitate foarte mică de a se întâmpla. După ce am înțeles-o mai bine, am avut grijă dacă a fost imediat și a lansat o nouă versiune." Fine a descris realizarea cu succes a unui atac folosind Widdit drept o șansă „un miliard”.
Dar a recunoscut că trebuia făcută o schimbare. "Nu a fost suficient de bine să spunem că era o probabilitate foarte mică", a spus Fine.
Este adevărat că un atacator ar trebui să meargă la lungimi mari pentru a putea folosi Widdit pentru a ataca telefonul cuiva. Cu siguranță nu ar fi genul de lucruri pe care le-ar încerca un escrocher Android. Însă atacatorii pot aduna resurse enorme dacă rambursarea este de valoare, iar peisajul mobil amenințător se schimbă tot timpul. Ceea ce ar putea fi o șansă de un miliard la unu astăzi, poate fi un lucru sigur mâine.
Toată lumea, Up Your Game
Utilizatorii Android ar putea fi mai preocupați de securitate din cauza dezvăluirilor Snowden despre colectarea datelor NSA, dar ar trebui să se uite și la propriile lor aplicații. Am văzut deja cum agențiile de spion profită de jocuri precum Angry Birds pentru a face colectarea informațiilor. Fine a spus că utilizatorii conduc ecosistemul Android, iar în cazul în care cer o mai bună securitate, dezvoltatorii vor trebui să îi urmeze.
„Toată lumea are responsabilitatea ca utilizator Android să stabilească standardul și să te educe pe tine și pe copiii tăi”, a spus Fine. „Copiii noștri cresc, nu vor ști un moment în care nu se împărtășea totul”. Bine a continuat că dezvoltatorii, "trebuie să simtă același sentiment de responsabilitate."
