Video: Stöd till anhöriga till svårt sjuka i Vetenskapslandet (September 2024)
När jag skriver om Android-säkerhet brukar jag se mycket av samma problem om och om igen (SSL, killar! Kom igen!). Vi bad Widdit VD Noam Fine och chef för mobilutveckling Nir Orpaz att förklara varför Android-utvecklare gör de säkerhetsval de gör och vad som måste göras bättre efter att ha hanterat en egen säkerhetskris.
Brist på kunskap
Från att prata med Widdits utvecklare verkar det finnas en koppling mellan spelarna i Android-ekosystemet. "Användare är inte tillräckligt utbildade för att titta på vad de lägger till sin telefon, " sa Fine. "Jag är inte säker på att alla verkligen bryr sig så mycket."
Utvecklare, å andra sidan, vet inte alltid riskerna som deras appar kan utgöra. "Utvecklare förstår inte helt att det de överför är personlig information", sa Orphaz. Fine gick med och sade att det inte fanns några hårda och snabba regler om vilken information som egentligen var "personlig".
Ett annat problem är tredjepartsannonsörer som betalar utvecklare för att inkludera programvaruutvecklingssatser (SDK) i sina appar för att samla in information om användare. Annonsörer kan sammanställa data från flera appar i chockerande detaljerade dokumentationer. Till exempel kan en app be om din ålder och en annan för ditt namn, men samma annonsör kan ha erbjudanden med båda.
Det är värt att notera att Widdit är ett slags app-utveckling och reklam. De utvecklar en SDK-plattform som kan sättas in i appar så att apputvecklaren kan tjäna lite pengar på sina skapelser.
För att fina, bristen på användarutbildning sätter onus för säkerhet helt på utvecklare. "Om du bryr dig om ditt rykte investerar du mycket i att upprätthålla det. Det betyder att dina affärsmetoder är lika mycket som dina säkerhetsrutiner, " sa Fine. Han uppmuntrade utvecklare att tänka noga innan de registrerade sig med annonsörer och installerade SDK: er i sina appar. Han uppmuntrade också utvecklare att undersöka behörigheterna som SDK kräver innan de aktiverade dem på deras app. "Om du som utvecklare inte frågade om dessa behörigheter är du villig att ge SDK dessa behörigheter?"
Utvecklas säkert
Både Fine och Orphaz sa att det var en sak att prata om säkerhet, men att implementera det i appar var en helt annan. Att upprätthålla en krypterad SSL-anslutning för att överföra information är en bra praxis, men en som kan vara en utmaning för små utvecklare. "Du måste få en SSL-server, och ibland är det inte en lätt sak att få", förklarade Orpaz. Vi har sett många företag som kritiserats för att skräpa eller misshandla SSL.
Vissa sårbarheter kommer från även de mest grundläggande funktionerna. Som exempel pekade Fine på Android-behörigheten som gör att appar kan ansluta till Internet. "Det är något som varje utvecklare gör, " sa Fine. "När du väl är ansluten till nätverket är det omedelbart en sårbarhet."
Han uppmuntrade utvecklare att använda sunt förnuft och kartlägga potentiella risker med de funktioner som de inkluderar i sina appar samt att samla in information om användare. "Om du gör detta måste du stoppa och tänka 'vad gör jag för att minimera riskerna?'" Sa Fine. "Jag är inte säker på att de flesta utvecklare gör det."
Förstahandsupplevelse
Widdit hade sina egna säkerhetsproblem, vilket vi rapporterade i en nyligen publicerad måndagspost från Mobile Threat. Deras system använder SDK-kod i appen som dagligen ringer en fjärrserver för att ladda ner en uppdatering till Android-telefonen. Säkerhetsforskare markerade den som farlig eftersom kommunikationen hanterades utan en SSL-anslutning, vilket möjliggjorde för en angripare att fånga upp filen och ersätta den med en skadlig.
Fine och Orphaz betonade att de visste om problemet innan det tillkännagavs av forskare och redan hade planerat att fixa det i framtiden. "Denna sårbarhet upplevdes ha en mycket låg sannolikhet att hända. När vi förstod det bättre, tog vi hand om omedelbart och släppte en ny version." Fine beskrivs framgångsrikt genomföra en attack med Widdit som "en i en miljard" chans.
Men han medgav att en förändring som måste göras. "Det var inte tillräckligt bra för att säga att det var riktigt låg sannolikhet", sa Fine.
Det är sant att en angripare skulle behöva gå mycket för att använda Widdit för att attackera någons telefon. Det skulle verkligen inte vara det som den genomsnittliga Android-svindlaren skulle försöka. Men angripare kan samla enorma resurser om utbetalningen är värdefull och det mobila hotlandskapet förändras hela tiden. Vad som kan vara en miljard till en chans idag, kan vara en säker sak imorgon.
Alla, upp ditt spel
Android-användare kanske är mer bekymrade över säkerhet på grund av Snowden-avslöjningarna om NSA-datainsamling, men de bör också titta på sina egna appar. Vi har redan sett hur spionbyråerna utnyttjar spel som Angry Birds för att göra deras informationssamling. Fine sa att användare kör Android-ekosystemet, och om de kräver bättre säkerhet måste utvecklarna följa.
"Alla har ett ansvar som Android-användare att ställa in standarden och utbilda dig själv och dina barn, " sa Fine. "Våra barn växer upp, de vet inte en tid då allt inte delades." Fin fortsatte att utvecklare, "måste känna samma ansvarskänsla."
