Video: My Friend Irma: Acute Love Sickness / Bon Voyage / Irma Wants to Join Club (Decembris 2024)
Rakstot par Android drošību, es mēdzu atkal un atkal redzēt daudz viena un tā paša jautājuma (SSL, puiši! Nāc!). Mēs lūdzām Widdit izpilddirektoram Noam Fine un mobilo sakaru izstrādes vadītājam Nir Orpaz izskaidrot, kāpēc Android izstrādātāji izdara drošības izvēli, ko viņi dara, un kas būtu jādara labāk pēc pašas drošības krīzes risināšanas.
Zināšanu trūkums
Sākot no sarunām ar Widdit izstrādātājiem, šķiet, ka Android ekosistēmas spēlētāji ir atvienoti. "Lietotājs nav pietiekami izglītots, lai apskatītu to, ko viņi pievieno savam tālrunim, " sacīja Fine. "Es neesmu pārliecināts, ka tiešām visiem tik ļoti rūp."
Izstrādātāji, no otras puses, ne vienmēr zina, kādi ir viņu lietotņu riski. "Izstrādātāji pilnībā nesaprot, ka tas, ko viņi pārsūta, ir personiska informācija, " sacīja Orfazs. Smalks piekrita, sakot, ka nav stingru un ātru noteikumu par to, kāda informācija patiešām ir "personīga".
Vēl viena problēma ir trešo pušu reklāmdevēji, kas maksā izstrādātājiem, lai savās lietotnēs iekļautu programmatūras izstrādes komplektus (SDK), lai apkopotu informāciju par lietotājiem. Reklāmdevēji var apkopot datus no vairākām lietotnēm šokējoši detalizētā dokumentācijā. Piemēram, viena lietotne var prasīt jūsu vecumu, bet otra - jūsu vārdu, bet vienam un tam pašam reklāmdevējam var būt darījumi ar abiem.
Ir vērts atzīmēt, ka Widdit ir sava veida atšķirība starp lietotņu izstrādi un reklamēšanu. Viņi izstrādā SDK platformu, kuru var ievietot lietotnēs, lai lietotņu izstrādātāji varētu nopelnīt naudu no saviem darbiem.
Jāatzīst, ka lietotāju izglītības trūkums pilnā mērā uzliek atbildību izstrādātājiem. "Ja jums rūp jūsu reputācija, jūs ieguldāt daudz pūļu, lai to uzturētu. Tas nozīmē jūsu biznesa praksi tikpat daudz kā drošības praksi, " sacīja Fine. Viņš mudināja izstrādātājus uzmanīgi padomāt, pirms pierakstīties pie reklāmdevējiem un instalēt SDK savās lietotnēs. Viņš arī mudināja izstrādātājus izskatīt SDK pieprasītās atļaujas pirms to iespējošanas lietotnē. "Ja jūs kā izstrādātājs nepieprasījāt šīs atļaujas, vai jūs vēlaties dot SDK šīs atļaujas?"
Droši attīstās
Gan Fine, gan Orphaz teica, ka runāt par drošību bija viena lieta, bet tās ieviešana lietotnēs bija pavisam kas cits. Šifrēta SSL savienojuma uzturēšana informācijas pārsūtīšanai ir laba prakse, taču tā var būt izaicinājums mazajiem izstrādātājiem. "Jums ir jāsaņem SSL serveris, un dažreiz to nav viegli iegūt, " skaidroja Orpazs. Mēs esam redzējuši daudzus uzņēmumus, kas tiek kritizēti par SSL atraušanu vai nepareizu izmantošanu.
Dažas ievainojamības rada pat visvienkāršākās funkcijas. Kā piemēru Fine norādīja uz Android atļauju, kas ļauj lietotnēm izveidot savienojumu ar internetu. "Tas ir kaut kas, ko izstrādā katrs izstrādātājs, " sacīja Smalks. "Kad esat izveidojis savienojumu ar tīklu, tā uzreiz ir ievainojamība."
Viņš mudināja izstrādātājus izmantot veselo saprātu un kartēt to lietotņu iespējamo risku, kā arī apkopot informāciju par lietotājiem. "Ja jūs to darāt, jums jāapstājas un jādomā" ko es daru, lai mazinātu riskus? "" Sacīja Smalks. "Es neesmu pārliecināts, ka vairums izstrādātāju tā rīkojas."
Pirmās puses pieredze
Widdit bija savas drošības problēmas, par kurām mēs ziņojām nesenā mobilā draudu pirmdienas ziņojumā. Viņu sistēma lieto SDK kodu lietotnē, kas katru dienu zvana uz attālo serveri, lai lejupielādētu atjauninājumu Android tālrunī. Drošības pētnieki to atzīmēja kā bīstamu, jo sakari tika apstrādāti bez SSL savienojuma, iespējams, ļaujot uzbrucējam pārtvert failu un aizstāt to ar ļaunprātīgu.
Fena un Orfazs uzsvēra, ka viņi zināja par problēmu pirms pētnieku paziņojuma, un jau bija plānojuši to labot nākotnē. "Šī ievainojamība tika uztverta kā ļoti maza iespējamība, ka tā notiks. Kad mēs to labāk sapratām, mēs parūpējāmies, lai nekavējoties notiktu, un izlaidām jaunu versiju." Fine aprakstīja veiksmīgu uzbrukuma veikšanu, izmantojot Widdit kā "viena no miljardiem" iespēju.
Bet viņš atzina, ka ir jāveic izmaiņas. "Tas nebija pietiekami labs, lai pateiktu, ka tā ir patiešām zema varbūtība, " sacīja Fine.
Tā ir taisnība, ka uzbrucējam būs jāveic daudz laika, lai izmantotu Widdit, lai uzbruktu kādam tālrunim. Tā noteikti nebūtu tāda lieta, kādu mēģinātu veikt vidējais Android krāpnieks. Bet uzbrucēji var uzkrāt milzīgus resursus, ja izmaksa ir nederīga, un mobilo draudu aina visu laiku mainās. Kāda varētu būt miljarda iespējamība šodien, rīt varētu būt pārliecināta lieta.
Ikviens, savu spēli
Android lietotāji, iespējams, vairāk uztraucas par drošību Snowden atklājumu par NVD datu apkopošanu dēļ, taču viņiem vajadzētu arī apskatīt savas lietotnes. Mēs jau esam redzējuši, kā spiegu aģentūras izmanto tādas spēles kā Angry Birds priekšrocības, lai savāktu informāciju. Fine sacīja, ka lietotāji vada Android ekosistēmu, un, ja viņi pieprasa labāku drošību, izstrādātājiem tas būs jāievēro.
"Ikvienam kā Android lietotājam ir pienākums noteikt standartu un izglītot sevi un savus bērnus, " sacīja Fine. "Mūsu bērni aug, viņi nezina laiku, kad viss netika dalīts." Smalks turpināja, ka izstrādātājiem "ir jāizjūt tāda pati atbildības sajūta".
