Дом Securitywatch Поумнеть! каждый должен думать о безопасности Android

Поумнеть! каждый должен думать о безопасности Android

Видео: Talking Tom Shorts Mega-Pack (Binge Compilation) (Ноябрь 2024)

Видео: Talking Tom Shorts Mega-Pack (Binge Compilation) (Ноябрь 2024)
Anonim

Когда я пишу о безопасности Android, я склоняюсь к тому, чтобы снова и снова сталкиваться с одной и той же проблемой (SSL, ребята! Давай!). Мы попросили генерального директора Widdit Ноама Файна и руководителя отдела мобильных разработок Нира Орпаса объяснить, почему разработчики Android делают выбор в отношении безопасности, который они делают, и что нужно сделать лучше после того, как они справились с собственным кризисом безопасности.

Недостаток знаний

От общения с разработчиками Widdit, кажется, есть разрыв между игроками в экосистеме Android. «Пользователи недостаточно образованны, чтобы посмотреть, что они добавляют в свой телефон», - сказал Файн. «Я не уверен, что все действительно так заботятся».

Разработчики, с другой стороны, не всегда знают, какие риски могут представлять их приложения. «Разработчики не до конца понимают, что они передают личную информацию», - сказал Орфаз. Прекрасно согласился, сказав, что не было никаких жестких и быстрых правил относительно того, какая информация была действительно «личной».

Другая проблема заключается в том, что сторонние рекламодатели платят разработчикам за включение в свои приложения комплектов разработки программного обеспечения (SDK) для сбора информации о пользователях. Рекламодатели могут собирать данные из нескольких приложений в поразительно подробные досье. Например, одно приложение может запрашивать ваш возраст, а другое - ваше имя, но один и тот же рекламодатель может иметь дело с обоими.

Стоит отметить, что Widdit является своего рода между разработкой приложений и рекламой. Они разрабатывают платформу SDK, которую можно вставлять в приложения, чтобы разработчики приложений могли зарабатывать деньги на своих творениях.

Для Fine, отсутствие обучения пользователей полностью ложится на безопасность разработчиков. «Если вы заботитесь о своей репутации, вы вкладываете много усилий в ее поддержание. Это означает, что ваши деловые практики столь же эффективны, как и ваши меры безопасности», - сказал Файн. Он призвал разработчиков тщательно подумать, прежде чем подписываться на рекламодателей и устанавливать SDK в свои приложения. Он также призвал разработчиков изучить разрешения, требуемые для SDK, прежде чем включать их в свое приложение. «Если вы как разработчик не запрашивали эти разрешения, готовы ли вы предоставить SDK эти разрешения?»

Безопасная разработка

И Fine, и Orphaz сказали, что говорить о безопасности - это одно, а внедрять его в приложения - совсем другое. Поддержание зашифрованного SSL-соединения для передачи информации является хорошей практикой, но может стать проблемой для небольших разработчиков. «Вы должны получить сервер SSL, а иногда это не так легко получить», - объясняет Orpaz. Мы видели, как многие компании критиковали за уклонение или неправильное использование SSL.

Некоторые уязвимости возникают даже из самых основных функций. Например, Fine указал на разрешение Android, которое позволяет приложениям подключаться к Интернету. «Это то, что делает каждый разработчик, - сказал Fine. - Как только вы подключитесь к сети, это сразу станет уязвимостью».

Он призвал разработчиков использовать здравый смысл и сопоставлять потенциальные риски функций, которые они включают в свои приложения, а также собирать информацию о пользователях. «Если вы делаете это, вам нужно остановиться и подумать:« Что я делаю, чтобы минимизировать риски? », - сказал Файн. «Я не уверен, что большинство разработчиков делают это».

Опыт первых рук

У Widdit были свои проблемы с безопасностью, о которых мы сообщали в недавней публикации Mobile Threat Monday. Их система использует код SDK в приложении, которое ежедневно вызывает удаленный сервер, чтобы загрузить обновление на телефон Android. Исследователи безопасности отметили его как опасный, поскольку обмен данными осуществлялся без SSL-соединения, что потенциально позволяет злоумышленнику перехватить файл и заменить его вредоносным.

Файн и Орфаз подчеркнули, что они знали о проблеме еще до того, как она была объявлена ​​исследователями, и уже планировали ее исправить в будущем. «Эта уязвимость воспринималась как имеющая очень низкую вероятность возникновения. Как только мы поняли это лучше, мы позаботились об этом немедленно и выпустили новую версию». Файн описал успешное проведение атаки с использованием Widdit как шанса «один на миллиард».

Но он признал, что необходимо внести изменения. «Недостаточно сказать, что вероятность была очень низкой», - сказал Файн.

Это правда, что злоумышленнику придется пойти на многое, чтобы использовать Widdit для атаки на чей-то телефон. Это, конечно, не было бы тем, что мог бы предпринять обычный мошенник на Android. Но злоумышленники могут собрать огромные ресурсы, если отдача того стоит, а ситуация с угрозами для мобильных устройств постоянно меняется. То, что сегодня может быть миллиардным шансом, завтра может быть верным.

Все, до вашей игры

Пользователи Android могут быть более обеспокоены безопасностью из-за откровений Сноудена о сборе данных АНБ, но им также следует обратить внимание на свои собственные приложения. Мы уже видели, как шпионские агентства используют такие игры, как Angry Birds, для сбора информации. Fine сказал, что пользователи управляют экосистемой Android, и если им требуется более высокая безопасность, разработчики должны будут следовать.

«Каждый пользователь Android обязан установить стандарт и обучить себя и своих детей», - сказал Файн. «Наши дети растут, они не будут знать время, когда всем не делили». Прекрасно продолжил, что разработчики "должны чувствовать то же чувство ответственности".

Поумнеть! каждый должен думать о безопасности Android