Video: MU Origin RU игра на Android и iOS (Listopad 2024)
Když píšu o zabezpečení Androidu, mám tendenci znovu a znovu vidět hodně stejného problému (SSL, lidi! No tak!). Požádali jsme generálního ředitele Widdit Noam Fine a vedoucího mobilního vývoje Nir Orpaze, aby vysvětlil, proč vývojáři systému Android dělají bezpečnostní volby, které dělají a co je třeba udělat lépe, když se vypořádají s vlastní bezpečnostní krizí.
Nedostatek znalostí
Od rozhovoru s vývojáři Widditu se zdá, že mezi hráči v ekosystému Android dochází k odpojení. „Uživatel není dostatečně vzdělaný, aby se podíval na to, co přidává do svého telefonu, “ řekl Fine. "Nejsem si jistý, že se každému opravdu tolik záleží."
Vývojáři naproti tomu vždy nevědí, jaká rizika mohou jejich aplikace představovat. "Vývojáři plně nechápou, že to, co předávají, jsou osobní informace, " řekl Orphaz. Fine souhlasil s tím, že neexistují žádná tvrdá a rychlá pravidla o tom, jaké informace jsou skutečně „osobní“.
Dalším problémem jsou inzerenti třetích stran, kteří platí vývojářům, aby do svých aplikací zařadili sady pro vývoj softwaru (SDK), aby shromažďovali informace o uživatelích. Inzerenti mohou kompilovat data z více aplikací do šokujících podrobných dokumentací. Jedna aplikace může například požádat o váš věk a druhá pro vaše jméno, ale stejný inzerent by mohl mít dohody s oběma.
Stojí za zmínku, že Widdit je něco mezi vývojem aplikací a reklamou. Vyvíjejí platformu SDK, kterou lze vložit do aplikací, takže vývojáři aplikací mohou ze svých výdělků vydělat nějaké peníze.
Aby to bylo v pořádku, nedostatek vzdělání uživatelů staví náklady na bezpečnost zcela na vývojáře. "Pokud vám záleží na vaší pověsti, investujete do jejího udržování velké úsilí. To znamená, že vaše obchodní praktiky jsou stejně jako vaše bezpečnostní praktiky, " řekl Fine. Vyzval vývojáře, aby si před registrací s inzerenty a instalací sad SDK do svých aplikací pečlivě rozmýšleli. Rovněž vyzval vývojáře, aby před povolením v jejich aplikaci prozkoumali oprávnění vyžadovaná sadami SDK. "Pokud jste jako vývojář nepožádal o tato oprávnění, jste ochotni udělit SDK tato oprávnění?"
Bezpečný vývoj
Fine i Orphaz uvedli, že mluvit o bezpečnosti je jedna věc, ale implementace do aplikací byla úplně jiná. Udržování šifrovaného připojení SSL pro přenos informací je dobrý postup, ale pro malé vývojáře může být výzvou. „Musíte získat server SSL a někdy to není snadné sehnat, “ vysvětlil Orpaz. Viděli jsme mnoho společností kritizovaných za vyhýbání se nebo nesprávné zacházení s SSL.
Některé zranitelnosti vyrůstají i ze základních funkcí. Například Fine poukázal na oprávnění Android, které umožňuje aplikacím připojení k internetu. „To je něco, co každý vývojář dělá, " řekl Fine. „Jakmile jste připojeni k síti, je to okamžitě chyba zabezpečení."
Vyzval vývojáře, aby používali zdravý rozum a mapovali možná rizika funkcí, které obsahují v jejich aplikacích, jakož i shromažďování informací o uživatelích. „Pokud to děláte, musíte se zastavit a přemýšlet„ co dělám, abych minimalizoval rizika? “Řekl Fine. "Nejsem si jistý, že to většina vývojářů dělá."
Zkušenosti z první ruky
Widdit měl své vlastní bezpečnostní problémy, které jsme nahlásili v nedávném příspěvku Mobile Threat v pondělí. Jejich systém používá kód SDK v aplikaci, který denně volá vzdálený server ke stažení aktualizace do telefonu Android. Bezpečnostní vědci to označili za nebezpečné, protože komunikace byla zpracována bez připojení SSL, což potenciálně umožnilo útočníkovi zachytit soubor a nahradit jej škodlivým.
Fine a Orphaz zdůraznili, že o problému věděli dříve, než jej vědci oznámili, a plánovali jej vyřešit v budoucnu. "Tato zranitelnost byla vnímána jako mající velmi nízkou pravděpodobnost, že se to stane. Jakmile jsme to pochopili lépe, postarali jsme se o to okamžitě a vydali novou verzi." Fine popsal úspěšné provedení útoku pomocí Widdit jako šanci „jedna za miliardu“.
Přiznal však, že je třeba provést změnu. „Nebylo dost dobré říct, že to byla opravdu nízká pravděpodobnost, “ řekl Fine.
Je pravda, že útočník by musel jít do velkých délek, aby mohl použít Widdit k útoku na něčí telefon. Rozhodně by to nebyl druh věci, kterou by se průměrný Android scammer pokusil. Útočníci však mohou shromáždit obrovské zdroje, pokud je to přínosné, a prostředí mobilních hrozeb se neustále mění. To, co dnes může být šance na miliardu, může být zítra jistá věc.
Všichni, Up Your Game
Uživatelé Androidu se mohou více zajímat o bezpečnost kvůli odhalení Snowden o shromažďování dat NSA, ale měli by se také dívat na své vlastní aplikace. Už jsme viděli, jak špionážní agentury využívají hry jako Angry Birds k shromažďování svých informací. Fine řekl, že uživatelé řídí ekosystém Android, a pokud požadují lepší zabezpečení, vývojáři budou muset následovat.
„Každý uživatel má jako uživatel systému Android odpovědnost za stanovení standardu a vzdělávání sebe a svých dětí, “ řekl Fine. "Naše děti vyrůstají, nebudou vědět, kdy se všechno nesdílí." Fajn pokračoval, že vývojáři, "musí cítit stejný pocit odpovědnosti."
