Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)
Когато пиша за сигурността на Android, съм склонна да виждам много и същи проблем отново и отново (SSL, момчета! Хайде!). Помолихме изпълнителния директор на Widdit Ноам Файн и ръководителя на разработката за мобилни устройства Нир Орпаз да обясни защо разработчиците на Android правят избора на сигурност, който правят и какво трябва да се направи по-добре, след като се справят със собствена криза на сигурността.
Липса на знания
От разговора с разработчиците на Widdit изглежда има прекъсване на връзката между играчите в екосистемата Android. "Потребителите не са достатъчно образовани, за да гледат какво добавят към телефона си", каза Fine. "Не съм сигурен, че всички наистина се интересуват толкова много."
Разработчиците, от друга страна, не винаги знаят рисковете, които техните приложения могат да представляват. „Разработчиците не разбират напълно, че това, което предават, е лична информация“, каза Орфаз. Фин се съгласи, като каза, че няма твърди и бързи правила за това каква информация е наистина „лична“.
Друг проблем са рекламодателите на трети страни, които плащат на разработчиците да включват комплекти за разработка на софтуер (SDK) в своите приложения, за да събират информация за потребителите. Рекламодателите могат да събират данни от множество приложения в шокиращо подробни досиета. Например едно приложение може да поиска вашата възраст, а друго за вашето име, но един и същ рекламодател може да има сделки и с двете.
Струва си да се отбележи, че Widdit е нещо между разработване на приложения и реклама. Те разработват SDK платформа, която може да бъде вмъкната в приложения, така че разработчиците на приложения да печелят пари от своите творения.
За Fine, липсата на образование на потребителите поставя изцяло върху разработчиците. „Ако се грижите за репутацията си, инвестирате много усилия в поддържането й. Това означава, че вашите бизнес практики са също толкова, колкото и вашите практики за сигурност“, каза Fine. Той насърчи разработчиците да помислят внимателно, преди да се регистрират с рекламодатели и да инсталират SDK в техните приложения. Той също така насърчи разработчиците да проучат разрешенията, изисквани от SDK, преди да ги разрешат в приложението си. „Ако вие като разработчик не сте поискали тези разрешения, готов ли сте да дадете тези разрешения на SDK?“
Сигурно се развива
И Fine, и Orphaz казаха, че да говорим за сигурност е едно, но прилагането му в приложенията е съвсем друго. Поддържането на криптирана SSL връзка за предаване на информация е добра практика, но тази, която може да бъде предизвикателство за малките разработчици. "Трябва да получите SSL сървър, а понякога това не е лесно", обясни Орпаз. Виждахме много компании, критикувани за свиване или неправилно управление на SSL.
Някои уязвимости изникват дори от най-основните функции. Например Fine посочи разрешението за Android, което позволява на приложенията да се свързват с интернет. "Това прави всеки разработчик - каза Fine. - След като сте свързани с мрежата, това веднага е уязвимост."
Той насърчи разработчиците да използват здравия разум и да картографират потенциалните рискове от функциите, които те включват в своите приложения, както и да събират информация за потребителите. „Ако правите това, трябва да спрете и да помислите„ какво правя, за да сведа до минимум рисковете? “, Каза Fine. "Не съм сигурен, че повечето разработчици правят това."
Опит от първа ръка
Widdit имаше свои собствени проблеми със сигурността, за които съобщихме в скорошна публикация на Mobile Threat. Тяхната система използва SDK код в приложението, което ежедневно се обажда на отдалечен сървър, за да изтегли актуализация на телефона с Android. Изследователите по сигурността го определиха като опасен, тъй като комуникацията е обработена без SSL връзка, което потенциално позволява на атакуващия да прехване файла и да го замени със злонамерен.
Фине и Орфаз подчертаха, че са знаели за проблема още преди да бъде обявен от изследователите и вече са планирали да го решат в бъдеще. „Тази уязвимост се възприема като имаща много малка вероятност да се случи. След като я разбрахме по-добре, ние се погрижихме дали незабавно и пуснахме нова версия.“ Fine описва успешно извършването на атака, използвайки Widdit като шанс "един на милиард".
Той обаче призна, че трябва да се направи промяна. "Не беше достатъчно добре да се каже, че наистина е малка вероятността", каза Fine.
Вярно е, че нападател ще трябва да се старае да използва Widdit, за да атакува нечий телефон. Това със сигурност няма да бъде такъв, какъвто би опитал обикновеният измамник с Android. Но нападателите могат да съберат огромни ресурси, ако изплащането е полезно и пейзажът на мобилните заплахи се променя през цялото време. Това, което може да е шанс за милиард към един днес, може да бъде сигурно утре.
Всички, Up Your Game
Потребителите на Android може да са по-загрижени за сигурността заради разкритията на Snowden за събирането на данни от NSA, но те също трябва да гледат собствените си приложения. Вече видяхме как шпионските агенции се възползват от игри като Angry Birds, за да си събират информация. Fine каза, че потребителите управляват екосистемата Android и ако искат по-добра сигурност, разработчиците ще трябва да следват.
„Всеки човек носи отговорност като потребител на Android, за да зададе стандарта и да обучава себе си и децата си“, каза Fine. „Децата ни, които растат, няма да знаят момент, в който всичко не се споделя.“ Fine продължи, че разработчиците „трябва да изпитват същото чувство за отговорност“.