Videó: Android Services Tutorial | Background Tasks and Services | Android Development Training | Edureka (November 2024)
Amikor az Android biztonságáról írok, inkább ugyanazt a kérdést látom újra és újra (SSL, fiúk! Gyere!). Megkérdeztük a Widdit Noam Fine vezérigazgatót és a Nir Orpaz mobilfejlesztési vezetőjét, hogy magyarázzák meg, hogy az Android fejlesztői miért hozzák meg az általuk elvégzett biztonsági döntéseket, és mit kell jobban tenni a saját biztonsági válság kezelése után.
A tudás hiánya
A Widdit fejlesztőivel való beszélgetéstől úgy tűnik, hogy az Android ökoszisztéma szereplői elválasztják egymást. "A felhasználók nem elég képzettek ahhoz, hogy megnézhessék, mit adnak a telefonjukhoz" - mondta Fine. "Nem vagyok biztos benne, hogy mindenki nagyon törődik vele."
A fejlesztők viszont nem mindig tudják, milyen kockázatokat jelenthetnek alkalmazásuk. "A fejlesztők nem teljesen értik, hogy az általuk továbbított személyes adatok" - mondta Orphaz. Fine egyetértett azzal, hogy nem léteznek kemény és gyors szabályok arról, hogy mi az információ valóban "személyes".
Egy másik probléma a harmadik felek hirdetői, akik fizetnek a fejlesztőknek a szoftverfejlesztő készletek (SDK-k) beillesztésével alkalmazásukba a felhasználókkal kapcsolatos információk gyűjtése érdekében. A hirdetők sok alkalmazás adatait sokkolóan részletes dossziékba állíthatják össze. Például az egyik alkalmazás kérheti az életkorát, a másik a neved, de lehet, hogy ugyanaz a hirdető mindkettővel foglalkozik.
Érdemes megjegyezni, hogy a Widdit valamilyen módon van az alkalmazásfejlesztés és a hirdetés között. Fejlesztenek egy SDK platformot, amely beilleszthető az alkalmazásokba, így az alkalmazásfejlesztők pénzt kereshetnek alkotásaikból.
Összefoglalva: a felhasználói oktatás hiánya a fejlesztőkre hárítja a biztonság terhét. "Ha törődik a jó hírnevével, sok erőfeszítést kell fordítania annak fenntartására. Ez ugyanúgy jelenti az üzleti gyakorlatot, mint a biztonsági gyakorlat" - mondta Fine. Arra ösztönözte a fejlesztőket, hogy gondosan gondolkodjanak, mielőtt feliratkoznának a hirdetőkre, és telepítik az SDK-kat alkalmazásukba. Arra is ösztönözte a fejlesztőket, hogy vizsgálják meg az SDK-k által megkövetelt engedélyeket, mielőtt engedélyeznék őket az alkalmazásukba. "Ha fejlesztőként nem kérte ezeket az engedélyeket, hajlandó megadni ezeket az engedélyeket az SDK-nak?"
Biztonságos fejlődés
Fine és Orphaz egyaránt azt mondta, hogy a biztonságról való beszélgetés egy dolog, ám az alkalmazásban történő megvalósítása már egészen más. A titkosított SSL-kapcsolat fenntartása az információk továbbításához jó gyakorlat, ám ez kihívást jelenthet a kis fejlesztők számára. "SSL szervert kell szereznie, és néha ezt nem könnyű megszerezni" - magyarázta Orpaz. Sok olyan társaságot látottunk, amely bírálta az SSL megrontását vagy helytelen kezelését.
Néhány sebezhetőség még a legalapvetőbb funkciókból fakad. Például Fine rámutatott az Android engedélyre, amely lehetővé teszi az alkalmazások számára, hogy csatlakozzanak az internethez. "Ezt minden fejlesztő csinál, " mondta Fine. "Ha csatlakozik a hálózathoz, ez azonnal egy biztonsági rés."
Arra ösztönözte a fejlesztőket, hogy használják a józan ész alkalmazását, és térképezzék fel az alkalmazásukba beépített szolgáltatások lehetséges kockázatait, valamint gyűjtsenek információkat a felhasználókról. "Ha ezt csinálja, akkor abba kell hagynia és gondolkodnia kell:" Mit csinálok a kockázatok minimalizálása érdekében? "" - mondta Fine. "Nem vagyok biztos abban, hogy a legtöbb fejlesztő ezt megteszi."
Tapasztalat első kézből
A Widditnek megvannak a maga biztonsági problémái, amiről egy nemrégiben megjelent mobil fenyegetés hétfőn írtunk be. Rendszerük SDK kódot használ az alkalmazáson belül, amely naponta felhív egy távoli szervert, hogy letöltjön egy frissítést az Android telefonra. A biztonsági kutatók veszélyesnek nyilvánították, mivel a kommunikáció SSL-kapcsolat nélkül kezelték, és ez lehetővé tette a támadó számára, hogy elfogja a fájlt, és helyettesítse azt egy rosszindulatúval.
Fine és Orphaz hangsúlyozta, hogy tudtak a problémáról, még mielőtt a kutatók bejelentették volna, és már tervezik a jövőbeni megoldást is. "Ezt a sebezhetőséget nagyon alacsony valószínűséggel vették észre. A jobb megértés után azonnal vigyázzunk és kiadtunk egy új verziót." Fine leírta, hogy sikeresen támadást hajtottak végre a Widdit segítségével, mint "egy milliárdból véletlen" lehetőséggel.
De beismerte, hogy változtatást kell végrehajtani. "Nem volt elég jó azt mondani, hogy valószínűleg nagyon alacsony a valószínűsége" - mondta Fine.
Igaz, hogy a támadónak nagy távolságra kell lennie, hogy a Widdit segítségével megtámadja valaki telefonját. Ez természetesen nem az a fajta dolog, amelyet az átlagos Android csaló megkísérel. De a támadók hatalmas erőforrásokat szerezhetnek, ha a kifizetés érdemtelen, és a mobil fenyegetés helye folyamatosan változik. Melyik lehet ma egymilliárd egy esély, holnap biztos lehet.
Mindenkinek, fel a játékod
Lehet, hogy az Android felhasználók jobban aggódnak a biztonság miatt az NSA adatgyűjtéséről szóló Snowden-felfedezések miatt, de a saját alkalmazásukat is meg kell vizsgálniuk. Már láttuk, hogy a kémügynökségek kihasználják az olyan játékok előnyeit, mint például az Angry Birds, hogy összegyűjtsék információjukat. Finom szerint a felhasználók irányítják az Android ökoszisztémát, és ha jobb biztonságot igényelnek, akkor a fejlesztőknek követniük kell őket.
"Mindenki Android-felhasználóként felelõs azért, hogy megteremtse a szabványt, és nevelje magát és gyermekeit" - mondta Fine. "Felnőtt gyerekeink nem fogják tudni, hogy mikor nem osztottak meg mindent." Finom folytatta, hogy a fejlesztőknek "ugyanazt a felelősségérzetet kell érezniük".
