Video: Oculus Quest Basics Tutorial (Oktober 2024)
Når jeg skriver om Android-sikkerhed, har jeg en tendens til at se meget af det samme problem igen og igen (SSL, fyre! Kom nu!). Vi bad Widdit administrerende direktør Noam Fine og leder af mobiludvikling Nir Orpaz om at forklare, hvorfor Android-udviklere foretager de sikkerhedsvalg, de gør, og hvad der skal gøres bedre efter at have håndteret deres egen sikkerhedskrise.
Mangel på viden
Fra at tale med Widdits udviklere ser det ud til at være en afbrydelse mellem spillerne i Android-økosystemet. "Bruger er ikke uddannet nok til at se på, hvad de tilføjer til deres telefon, " sagde Fine. "Jeg er ikke sikker på, at alle virkelig interesserer sig så meget."
Udviklere ved derimod ikke altid, hvilke risici deres apps kan repræsentere. "Udviklere forstår ikke fuldt ud, at det, de sender, er personlige oplysninger, " sagde Orphaz. Fin enige om at sige, at der ikke var nogen hårde og hurtige regler om, hvilke oplysninger der virkelig var "personlig".
Et andet problem er tredjeparts annoncører, der betaler udviklere for at inkludere softwareudviklingssæt (SDK'er) i deres apps for at indsamle oplysninger om brugere. Annoncører kan samle data fra flere apps i chokerende detaljerede dossierer. For eksempel kan en app bede om din alder og en anden om dit navn, men den samme annoncør har muligvis aftaler med begge.
Det er værd at bemærke, at Widdit er en slags mellem appudvikling og reklame. De udvikler en SDK-platform, der kan indsættes i apps, så app-udvikleren kan tjene nogle penge på deres kreationer.
For at bøde sætter manglen på brugeruddannelse onus for sikkerhed udelukkende på udviklere. "Hvis du er interesseret i dit omdømme, investerer du en masse indsats i at opretholde det. Dette betyder, at din forretningspraksis lige så meget som din sikkerhedspraksis, " sagde Fine. Han opfordrede udviklere til at tænke grundigt, før de tilmeldte sig annoncører og installerede SDK'er i deres apps. Han opfordrede også udviklere til at undersøge de tilladelser, der kræves af SDK'er, før de aktiverede dem på deres app. "Hvis du som udvikler ikke bad om disse tilladelser, er du villig til at give SDK disse tilladelser?"
Udvikler sikkert
Både Fine og Orphaz sagde, at det var en ting at tale om sikkerhed, men at implementere det i apps var en helt anden. Det er en god praksis at opretholde en krypteret SSL-forbindelse til transmission af information, men det kan være en udfordring for små udviklere. "Du skal få en SSL-server, og sommetider er det ikke en nem ting at få, " forklarede Orpaz. Vi har set mange virksomheder kritiseret for at ryste eller mishandle SSL.
Nogle sårbarheder kommer fra selv de mest basale funktioner. F.eks pegede Fine på Android-tilladelsen, der giver apps mulighed for at oprette forbindelse til internettet. "Det er noget, som enhver udvikler gør, " sagde Fine. "Når du først har oprettet forbindelse til netværket, er det straks en sårbarhed."
Han opfordrede udviklere til at bruge sund fornuft og kortlægge potentielle risici for de funktioner, de inkluderer i deres apps, samt indsamle oplysninger om brugere. ”Hvis du gør dette, skal du stoppe og tænke 'hvad laver jeg for at minimere risiciene?'" Sagde Fine. "Jeg er ikke sikker på, at de fleste udviklere gør det."
Førstehånds oplevelse
Widdit havde sine egne sikkerhedsproblemer, som vi rapporterede i en nylig mobiltrussel mandagspost. Deres system bruger SDK-kode i den app, der dagligt ringer til en ekstern server for at downloade en opdatering til Android-telefonen. Sikkerhedsforskere markerede den som farlig, da kommunikationen blev håndteret uden en SSL-forbindelse, hvilket potentielt muliggjorde en angriber at aflytte filen og erstatte den med en ondsindet.
Fine og Orphaz understregede, at de vidste om problemet, før det blev annonceret af forskere, og allerede havde planlagt at løse det i fremtiden. "Denne sårbarhed blev opfattet som en meget lav sandsynlighed for at ske. Når vi først forstod det bedre, var vi opmærksomme på det med det samme og frigav en ny version." Fin beskrevet med succes udførelse af et angreb med Widdit som "en i en milliard" chance.
Men han indrømmede, at der var behov for en ændring. "Det var ikke godt nok til at sige, at det var rigtig lav sandsynlighed, " sagde Fine.
Det er sandt, at en angriberen skulle gå meget langt for at bruge Widdit til at angribe nogens telefon. Det ville bestemt ikke være den slags ting, som den gennemsnitlige Android-svindler ville forsøge. Men angribere kan samle enorme ressourcer, hvis udbetalingen er værd, og det mobile trussellandskab ændrer sig hele tiden. Hvad der i dag kan være en milliard til en chance, kan være en sikker ting i morgen.
Alle, op dit spil
Android-brugere er måske mere bekymrede over sikkerhed på grund af Snowden-afsløringerne om indsamling af NSA-data, men de bør også se på deres egne apps. Vi har allerede set, hvordan spionagenturerne drager fordel af spil som Angry Birds for at gøre deres informationsindsamling. Fine sagde, at brugere kører Android-økosystemet, og hvis de kræver bedre sikkerhed, skal udviklerne følge.
"Alle har et ansvar som Android-bruger til at indstille standarden og uddanne dig selv og dine børn, " sagde Fine. "Vores børn vokser op, de ved ikke et tidspunkt, hvor alt ikke blev delt." Fin fortsatte med, at udviklere, "har brug for at føle den samme ansvarsfølelse."
