Video: Drop will smarten up your baking routine (November 2024)
Pri písaní informácií o zabezpečení systému Android mám tendenciu znova a znova vidieť veľa rovnakých problémov (SSL, chlapci! No tak!). Požiadali sme generálneho riaditeľa spoločnosti Widdit Noam Fine a vedúceho mobilného vývoja Nir Orpaza, aby vysvetlil, prečo vývojári Androidu robia rozhodnutia o zabezpečení, ktoré robia a čo je potrebné urobiť lepšie po zvládnutí ich bezpečnostnej krízy.
Nedostatok vedomostí
Od rozhovorov s vývojármi Widditu sa zdá, že medzi hráčmi v ekosystéme Android existuje nesúlad. „Užívatelia nie sú dostatočne vzdelaní, aby sa pozreli na to, čo pridávajú do svojho telefónu, “ povedal Fine. „Nie som si istý, že sa každému skutočne toľko zaujíma.“
Vývojári na druhej strane nie vždy vedia riziká, ktoré môžu ich aplikácie predstavovať. „Vývojári úplne nechápu, že prenášajú osobné údaje, “ uviedol Orphaz. Fine súhlasil s tým, že neexistujú tvrdé a rýchle pravidlá o tom, ktoré informácie sú skutočne „osobné“.
Ďalším problémom sú inzerenti tretích strán, ktorí platia vývojárom, aby do svojich aplikácií zahrnuli súpravy na vývoj softvéru (SDK) na zhromažďovanie informácií o používateľoch. Inzerenti môžu zhromažďovať údaje z viacerých aplikácií do šokujúco podrobných dokumentácií. Jedna aplikácia môže napríklad požiadať o váš vek a druhá o vaše meno, ale ten istý inzerent môže mať obe možnosti.
Stojí za zmienku, že Widdit je niečo medzi vývojom aplikácií a reklamou. Vyvíjajú platformu SDK, ktorú je možné vkladať do aplikácií, aby vývojári aplikácií mohli zo svojich výtvorov zarobiť nejaké peniaze.
V konečnom dôsledku nedostatok vzdelania používateľov kladie bremeno na bezpečnosť výlučne na vývojárov. „Ak vám záleží na dobrej povesti, investujete do jej udržiavania veľké úsilie. Znamená to, že vaše obchodné praktiky sú rovnako ako bezpečnostné praktiky, “ povedal Fine. Povzbudil vývojárov, aby pred registráciou s inzerentmi a inštaláciou súprav SDK do svojich aplikácií starostlivo premýšľali. Povzbudil tiež vývojárov, aby preskúmali povolenia vyžadované súpravami SDK skôr, ako im povolia ich aplikáciu. „Ak ste ako vývojár nepožiadali o tieto povolenia, ste ochotní tieto povolenia SDK udeliť?“
Bezpečný rozvoj
Fine aj Orphaz uviedli, že hovorenie o bezpečnosti je jedna vec, ale implementácia do aplikácií bola úplne iná. Udržiavanie šifrovaného pripojenia SSL na prenos informácií je osvedčený postup, ktorý však môže byť problémom pre malých vývojárov. „Musíte získať server SSL a niekedy to nie je ľahké získať, “ vysvetlil Orpaz. Videli sme veľa spoločností, ktoré boli kritizované za vyhýbanie sa alebo nesprávne zaobchádzanie s SSL.
Niektoré zraniteľné miesta vychádzajú z najzákladnejších funkcií. Napríklad Fine poukázal na povolenie systému Android, ktoré umožňuje aplikáciám pripojenie na internet. „To je niečo, čo každý vývojár robí, “ povedal Fine. „Po pripojení k sieti je to okamžite zraniteľné miesto.“
Povzbudil vývojárov, aby používali zdravý rozum a mapovali potenciálne riziká funkcií, ktoré obsahujú vo svojich aplikáciách, ako aj zhromažďovanie informácií o používateľoch. „Ak to robíš, musíš prestať a premýšľať, čo robím, aby som minimalizoval riziká?“ Povedala Fine. „Nie som si istý, že väčšina vývojárov to robí.“
Skúsenosti z prvej ruky
Widdit mal vlastné bezpečnostné problémy, ktoré sme nahlásili na nedávnom pondelok Mobile Threat. Ich systém používa kód SDK v aplikácii, ktorý každý deň volá vzdialený server, aby stiahol aktualizáciu do telefónu s Androidom. Výskumníci v oblasti bezpečnosti to označili za nebezpečné, pretože komunikácia bola spracovaná bez pripojenia SSL, čo potenciálne umožňuje útočníkovi zachytiť súbor a nahradiť ho škodlivým.
Fine a Orphaz zdôraznili, že o probléme vedeli skôr, ako to výskumníci oznámili, a už ho plánovali vyriešiť v budúcnosti. „Táto zraniteľnosť sa vnímala ako pravdepodobnosť veľmi nízkej pravdepodobnosti. Keď sme to pochopili lepšie, okamžite sme sa postarali o vydanie novej verzie.“ Fine opísal úspešné vykonanie útoku pomocou Widditu ako šancu „jedna za miliardu“.
Priznal však, že je potrebné urobiť zmenu. „Nebolo dosť dobré povedať, že to bola skutočne nízka pravdepodobnosť, “ povedal Fine.
Je pravda, že útočník by musel ísť na veľké vzdialenosti, aby mohol použiť Widdit na napadnutie niekoho telefónu. Určite by to nebol druh veci, o ktorú by sa priemerný Android scammer pokúsil. Útočníci však môžu získať obrovské zdroje, ak je ich návratnosť opodstatnená a prostredie mobilných hrozieb sa neustále mení. To, čo dnes môže byť šanca jedna miliarda na jednu, môže byť zajtra istá vec.
Všetci, vaša hra
Používatelia Androidu sa môžu viac zaujímať o bezpečnosť kvôli odhaleniam Snowden o zhromažďovaní údajov NSA, ale mali by sa tiež pozerať na svoje vlastné aplikácie. Už sme videli, ako špionážne agentúry využívajú hry ako Angry Birds na zhromažďovanie svojich informácií. Fine povedal, že používatelia ovládajú ekosystém Android a ak budú požadovať lepšiu bezpečnosť, vývojári ho budú musieť nasledovať.
„Každý používateľ má ako užívateľ systému Android zodpovednosť za stanovenie štandardu a vzdelávanie seba a svojich detí, “ povedal Fine. "Naše deti vyrastajú, nebudú vedieť čas, keď sa nebude zdieľať všetko." Fajn pokračoval, že vývojári, "musia cítiť rovnaký zmysel pre zodpovednosť."