Video: 7 VINKKIÄ TIETOTURVAAN (Lokakuu 2024)
Kun kirjoitan Android-tietoturvasta, minulla on tapana nähdä paljon samaa asiaa uudestaan ja uudestaan (SSL, kaverit! Tule!). Pyysimme Widditin toimitusjohtajaa Noam Finea ja matkaviestinnän kehitystyön päällikkö Nir Orpazia selittämään, miksi Android-kehittäjät tekevät tekemänsä turvallisuusvalinnat ja mitä on tehtävä paremmin oman turvallisuuskriisin jälkeen.
Tietojen puute
Puhumisesta Widditin kehittäjien kanssa näyttää siltä, että Android-ekosysteemin pelaajien välillä on yhteys. "Käyttäjä ei ole riittävän koulutettu katsomaan, mitä hän lisää puhelimeen", sanoi Fine. "En ole varma, että kaikki todella välittävät niin paljon."
Toisaalta kehittäjät eivät aina tiedä riskejä, joita heidän sovelluksensa voivat aiheuttaa. "Kehittäjät eivät täysin ymmärrä, että heidän välittämänsä tiedot ovat henkilökohtaisia tietoja", Orphaz sanoi. Fine oli samaa mieltä sanomalla, että ei ollut kovia ja nopeita sääntöjä siitä, mikä tieto oli todella "henkilökohtaista".
Toinen ongelma on kolmansien osapuolien mainostajat, jotka maksavat kehittäjille sisällyttää ohjelmistokehityspaketit (SDK) sovelluksiinsa kerätäkseen tietoja käyttäjistä. Mainostajat voivat koota useiden sovellusten tietoja järkyttävän yksityiskohtaisiksi asiakirjoiksi. Yksi sovellus voi esimerkiksi kysyä ikäsi ja toinen nimesi, mutta sama mainostaja saattaa olla tekemisissä molempien kanssa.
On syytä huomata, että Widdit on eräänlainen sovelluskehityksen ja mainonnan välillä. He kehittävät SDK-alustan, joka voidaan lisätä sovelluksiin, jotta sovelluskehittäjät voivat ansaita rahaa luomuksistaan.
Hienoksi, käyttäjän koulutuksen puute asettaa tietoturvan vastuun kokonaan kehittäjille. "Jos välität maineestasi, investoisit paljon työtä sen ylläpitämiseen. Tämä tarkoittaa yrityksesi käytäntöjä yhtä paljon kuin turvallisuuskäytäntöjä", sanoi Fine. Hän rohkaisi kehittäjiä ajattelemaan huolellisesti ennen ilmoittautumista mainostajien kanssa ja SDK: n asentamista sovelluksiinsa. Hän rohkaisi myös kehittäjiä tutkimaan SDK: n vaadittavat käyttöoikeudet ennen niiden käyttöönottoa sovelluksessaan. "Jos kehittäjänä ei pyytänyt näitä oikeuksia, oletko valmis antamaan SDK: lle nämä oikeudet?"
Kehitetään turvallisesti
Sekä Fine että Orphaz sanoivat, että turvallisuudesta puhuminen oli yksi asia, mutta sen toteuttaminen sovelluksissa oli aivan toinen. Salatun SSL-yhteyden ylläpitäminen tiedon siirtämiseksi on hyvä käytäntö, mutta se voi olla haaste pienille kehittäjille. "Sinun on hankittava SSL-palvelin, ja toisinaan se ei ole helppoa saada", Orpaz selitti. Olemme nähneet monia yrityksiä, joita kritisoidaan SSL: n rypistämisestä tai väärinkäytöstä.
Jotkut haavoittuvuudet syntyvät jopa kaikkein perustoiminnoista. Esimerkiksi Fine viittasi Android-lupaan, jonka avulla sovellukset voivat muodostaa yhteyden Internetiin. "Se on jotain, jonka jokainen kehittäjä tekee", sanoi Fine. "Kun olet muodostanut yhteyden verkkoon, se on heti haavoittuvuus."
Hän rohkaisi kehittäjiä käyttämään järkeä ja kartoittamaan sovelluksiinsa sisältyvien ominaisuuksien mahdollisia riskejä sekä keräämään tietoja käyttäjistä. "Jos teet tämän, sinun on pysähdyttävä ja ajateltava" mitä teen riskien minimoimiseksi? "", Sanoi Fine. "En ole varma, että useimmat kehittäjät tekevät niin."
Henkilökohtainen kokemus
Widditillä oli omat turvallisuusongelmat, joista kerroimme äskettäisessä Mobile Threat maanantai -viestissä. Heidän järjestelmänsä käyttää SDK-koodia sovelluksessa, joka päivittäin soittaa etäpalvelimelle päivityksen lataamiseksi Android-puhelimeen. Turvallisuustutkijat ilmoittivat sen vaarallisena, koska viestintää käsiteltiin ilman SSL-yhteyttä, jolloin hyökkääjä voi mahdollisesti siepata tiedoston ja korvata sen haittaohjelmalla.
Fine ja Orphaz painottivat tietävänsä ongelmasta ennen kuin tutkijat ilmoittivat siitä, ja olivat jo suunnitelleet korjatavan sen tulevaisuudessa. "Tämän haavoittuvuuden havaittiin tapahtuvan erittäin pienellä todennäköisyydellä. Kun ymmärsimme sen paremmin, olemme huolissaan heti ja julkaissimme uuden version." Fine kuvaili onnistuneen hyökkäyksen suorittamisen Widditillä "yhdeksi miljardiin" mahdollisuudeksi.
Mutta hän myönsi, että muutos, joka oli tehtävä. "Se ei ollut tarpeeksi hyvä sanoa, että se oli todella pieni todennäköisyys", sanoi Fine.
On totta, että hyökkääjän on mentävä pitkään käyttääkseen Widditiä hyökkäämään jonkun puhelimeen. Se ei todellakaan olisi sellainen asia, jota tavallinen Android-huijari yrittäisi. Mutta hyökkääjät voivat kerätä valtavia resursseja, jos voitto on arvoton, ja mobiili uhkamaisema muuttuu koko ajan. Mikä voisi olla miljardin mahdollisuus tänään, voisi olla varma asia huomenna.
Jokainen, oma peli
Android-käyttäjät saattavat olla enemmän huolissaan turvallisuudesta, koska Snowden paljastaa NSA: n tiedonkeruusta, mutta heidän on myös tarkasteltava omia sovelluksiaan. Olemme jo nähneet, kuinka vakoojatoimistot hyödyntävät Angry Birdsin kaltaisia pelejä hyödyntääkseen tiedon keräämistä. Fine sanoi, että käyttäjät ajavat Android-ekosysteemiä, ja jos he vaativat parempaa tietoturvaa, kehittäjien on noudatettava niitä.
"Jokaisella on Android-käyttäjän vastuulla asettaa standardi ja kouluttaa itseäsi ja lapsiasi", sanoi Fine. "Lapsemme kasvavat, he eivät tiedä aikaa, jolloin kaikkea ei jaettu." Hieno jatkoi, että kehittäjien "on tunnettava sama vastuuntunto".
