Video: Nuki Opener (EN) - Smarten up your intercom - Amazon Alexa, Google Assistant, IFTTT (Oktober 2024)
Ko pišem o varnosti Android, se vedno znova srečujem z isto težavo (SSL, fantje! Pridite!). Izvršni direktor Widdita Noam Fine in vodja razvoja mobilnih telefonov Nir Orpaz smo pojasnili, zakaj Android razvijalci izbirajo varnostne odločitve in kaj je treba storiti bolje, potem ko se sami soočijo z varnostno krizo.
Pomanjkanje znanja
Od pogovora z razvijalci Widdita se zdi, da med igralci v Android ekosistemu obstaja povezava. "Uporabniki niso dovolj izobraženi, da bi si ogledali, kaj dodajajo v telefon, " je dejal Fine. "Nisem prepričan, da vsi res toliko skrbijo."
Razvijalci na drugi strani ne poznajo vedno tveganj, ki jih lahko predstavljajo njihove aplikacije. "Razvijalci ne razumejo v celoti, da so to, kar prenašajo, osebni podatki, " je dejal Orphaz. Fine se je strinjal in dejal, da ni trdih in hitrih pravil o tem, kakšne informacije so v resnici "osebne".
Druga težava so tretji oglaševalci, ki plačujejo razvijalcem, da v svoje aplikacije vključijo komplete za razvoj programske opreme (SDK) za zbiranje informacij o uporabnikih. Oglaševalci lahko zbirajo podatke iz več aplikacij v šokantno podrobne dosjeje. Na primer, ena aplikacija bo morda vprašala za vašo starost, druga pa za vaše ime, vendar bi isti oglaševalec morda imel opravka z obema.
Omeniti velja, da je Widdit nekakšna med razvojem aplikacij in oglaševanjem. Razvijajo platformo SDK, ki jo je mogoče vstaviti v aplikacije, tako da lahko razvijalci aplikacij zaslužijo nekaj denarja od svojih kreacij.
Fine je, da pomanjkanje izobrazbe uporabnikov v celoti postavlja varnost razvijalcem. "Če vam je mar za svoj ugled, vložite veliko truda v njegovo vzdrževanje. To pomeni, da vaše poslovne prakse prav toliko kot vaše varnostne prakse, " je dejal Fine. Razvijalce je spodbudil, da dobro premislijo, preden se prijavijo z oglaševalci in v svoje aplikacije namestijo SDK. Razvijalce je tudi spodbudil, naj preučijo dovoljenja, ki jih zahtevajo SDK, preden jih omogočijo v svoji aplikaciji. "Če kot razvijalec niste zahtevali teh dovoljenj, ste pripravljeni SDK dati ta dovoljenja?"
Varno razvijanje
Tako Fine kot Orphaz sta dejala, da je govor o varnosti ena stvar, vendar pa je bilo izvajanje v aplikacijah čisto drugo. Ohranjanje šifrirane povezave SSL za prenašanje informacij je dobra praksa, vendar je za majhne razvijalce lahko izziv. "Pridobiti morate strežnik SSL in včasih tega ni enostavno dobiti, " je pojasnil Orpaz. Videli smo veliko podjetij, ki so jih kritizirale zaradi krčenja ali zlorabe SSL-ja.
Nekatere ranljivosti se pojavijo tudi iz najosnovnejših funkcij. Fine je na primer opozoril na dovoljenje za Android, ki aplikacijam omogoča povezovanje z internetom. "To počne vsak razvijalec, " je dejal Fine. "Ko ste enkrat povezani v omrežje, je to takoj ranljivost."
Razvijalce je spodbudil, naj uporabljajo zdrav razum in preslikajo potencialna tveganja funkcij, ki jih vključujejo v svoje aplikacije, ter zbirajo informacije o uporabnikih. "Če to počnete, se morate ustaviti in razmišljati, " kaj delam, da zmanjšam tveganja? "" Je dejal Fine. "Nisem prepričan, da večina razvijalcev to počne."
Izkušnje iz prve roke
Widdit je imel svoje varnostne težave, o katerih smo poročali v nedavni objavi Mobile Threat Monday. Njihov sistem uporablja kodo SDK v aplikaciji, ki dnevno pokliče oddaljeni strežnik za prenos posodobitev na telefon Android. Varnostni raziskovalci so označili za nevarno, saj je komunikacija potekala brez povezave SSL, kar bi napadalcu lahko omogočilo, da datoteko prestreže in jo nadomesti z zlonamerno.
Fine in Orphaz sta poudarila, da sta za težavo vedela, preden so jo napovedali raziskovalci, in jo že nameravali odpraviti v prihodnosti. "Ta ranljivost je bila zaznana kot zelo majhna verjetnost, da se bo zgodila. Ko smo jo bolje razumeli, smo poskrbeli, če takoj in izdali novo različico." Fine je uspešno izvedbo napada z Widditom opisal kot priložnost "ena na milijardo".
Vendar je priznal, da je treba sprejeti spremembo. "Ni bilo dovolj dobro, da bi lahko rekel, da je zelo majhna verjetnost, " je dejal Fine.
Res je, da bi se moral napadalec zelo potruditi, da bi Widdit uporabil za napad nekoga na telefon. To zagotovo ne bi bilo tisto, kar bi poskusil povprečni prevarant Android. Toda napadalci lahko zberejo ogromna sredstva, če je izplačilo koristno in se mobilna grožnja nenehno spreminja. Kakšna bi bila danes priložnost milijarda na ena, bi bila jutri lahko zanesljiva.
Vsi, nadgradite svojo igro
Uporabnike Androida morda bolj skrbi varnost zaradi razkritij Snowdena o zbiranju podatkov NSA, vendar bi morali pogledati tudi svoje aplikacije. Že smo videli, kako vohunske agencije izkoriščajo igre, kot je Angry Birds, da zbirajo svoje podatke. Fine je dejal, da uporabniki vozijo ekosistem Android, in če bodo zahtevali boljšo varnost, bodo morali razvijalci slediti.
"Vsakdo je kot Androidov uporabnik odgovoren, da postavi standard in vzgajate sebe in svoje otroke, " je dejal Fine. "Naši otroci, ki odraščajo, ne bodo vedeli časa, ko vsega niso delili." Fine je nadaljeval, da morajo razvijalci "čutiti enak občutek odgovornosti."
