Video: Come Sprigionare Sicurezza di Sé Senza Essere Arroganti? (Settembre 2024)
Quando scrivo sulla sicurezza di Android, tendo a vedere più e più volte lo stesso problema (SSL, ragazzi! Dai!). Abbiamo chiesto al CEO di Widdit Noam Fine e al capo dello sviluppo mobile Nir Orpaz di spiegare perché gli sviluppatori Android fanno le scelte di sicurezza che fanno e cosa occorre fare meglio dopo aver affrontato una crisi di sicurezza propria.
Una mancanza di conoscenza
Dal parlare con gli sviluppatori di Widdit, sembra esserci una disconnessione tra i giocatori nell'ecosistema Android. "L'utente non è abbastanza istruito per guardare a ciò che sta aggiungendo al proprio telefono", ha dichiarato Fine. "Non sono sicuro che a tutti importi davvero così tanto."
Gli sviluppatori, d'altra parte, non sempre conoscono i rischi che le loro app possono rappresentare. "Gli sviluppatori non comprendono appieno che ciò che trasmettono sono informazioni personali", ha affermato Orphaz. Bene concordò, dicendo che non c'erano regole rigide e veloci su quali informazioni fossero veramente "personali".
Un altro problema sono gli inserzionisti di terze parti che pagano agli sviluppatori l'inclusione di kit di sviluppo software (SDK) nelle loro app per raccogliere informazioni sugli utenti. Gli inserzionisti possono compilare i dati di più app in fascicoli estremamente dettagliati. Ad esempio, un'app potrebbe richiedere la tua età e un'altra il tuo nome, ma lo stesso inserzionista potrebbe avere accordi con entrambi.
Vale la pena notare che Widdit è una sorta di sviluppo di app e pubblicità. Sviluppano una piattaforma SDK che può essere inserita nelle app in modo che lo sviluppatore dell'app possa guadagnare un po 'di denaro dalle proprie creazioni.
A dire il vero, la mancanza di formazione degli utenti pone la responsabilità della sicurezza interamente sugli sviluppatori. "Se ti preoccupi della tua reputazione, investi molto sforzo nel mantenerla. Ciò significa che le tue pratiche aziendali sono tanto quanto le tue pratiche di sicurezza", ha dichiarato Fine. Ha incoraggiato gli sviluppatori a riflettere attentamente prima di iscriversi agli inserzionisti e installare SDK nelle loro app. Ha inoltre incoraggiato gli sviluppatori a esaminare le autorizzazioni richieste dagli SDK prima di abilitarli sulla loro app. "Se come sviluppatore non hai richiesto tali autorizzazioni, sei disposto a concedere all'SDK tali autorizzazioni?"
Svilupparsi in modo sicuro
Sia Fine che Orphaz hanno affermato che parlare di sicurezza era una cosa, ma implementarla nelle app era un'altra. Mantenere una connessione SSL crittografata per la trasmissione di informazioni è una buona pratica, ma può essere una sfida per i piccoli sviluppatori. "Devi ottenere un server SSL, e talvolta non è una cosa facile da ottenere", ha spiegato Orpaz. Abbiamo visto molte aziende criticate per lo shirking o la cattiva gestione di SSL.
Alcune vulnerabilità emergono anche dalle funzioni più elementari. Ad esempio, Fine ha indicato l'autorizzazione Android che consente alle app di connettersi a Internet. "Questo è qualcosa che ogni sviluppatore fa", ha detto Fine. "Una volta che sei connesso alla rete, questa è immediatamente una vulnerabilità".
Ha incoraggiato gli sviluppatori a usare il buon senso e a mappare i potenziali rischi delle funzionalità che includono nelle loro app, nonché a raccogliere informazioni sugli utenti. "Se lo stai facendo, devi fermarti e pensare 'cosa sto facendo per ridurre al minimo i rischi?'", Ha detto Fine. "Non sono sicuro che molti sviluppatori lo facciano."
Esperienza di prima mano
Widdit aveva i suoi problemi di sicurezza, che abbiamo segnalato in un recente post di Mobile Threat di lunedì. Il loro sistema utilizza il codice SDK all'interno dell'app che chiama quotidianamente un server remoto per scaricare un aggiornamento sul telefono Android. I ricercatori della sicurezza lo hanno segnalato come pericoloso poiché la comunicazione è stata gestita senza una connessione SSL, consentendo potenzialmente a un utente malintenzionato di intercettare il file e sostituirlo con uno dannoso.
Fine e Orphaz hanno sottolineato di essere a conoscenza del problema prima che fosse annunciato dai ricercatori e che avevano già programmato di risolverlo in futuro. "Questa vulnerabilità è stata percepita come una probabilità molto bassa di accadere. Una volta capito meglio, ci siamo presi cura di se immediatamente e rilasciato una nuova versione." Fine ha descritto con successo l'esecuzione di un attacco usando Widdit come una possibilità "uno su un miliardo".
Ma ha ammesso che era necessario apportare un cambiamento. "Non è stato abbastanza buono per dire che era una probabilità molto bassa", ha detto Fine.
È vero che un utente malintenzionato dovrebbe fare di tutto per utilizzare Widdit per attaccare il telefono di qualcuno. Certamente non sarebbe il tipo di cosa che il truffatore Android medio tenterebbe. Ma gli aggressori possono raccogliere enormi risorse se il payoff è degno e il panorama delle minacce mobili cambia continuamente. Quella che potrebbe essere una possibilità da un miliardo a uno oggi, potrebbe essere una cosa sicura domani.
Tutti, il tuo gioco
Gli utenti Android potrebbero essere più preoccupati per la sicurezza a causa delle rivelazioni di Snowden sulla raccolta di dati NSA, ma dovrebbero anche guardare le proprie app. Abbiamo già visto come le agenzie di spionaggio stanno approfittando di giochi come Angry Birds per raccogliere le informazioni. Fine ha affermato che gli utenti guidano l'ecosistema Android e se richiedono una maggiore sicurezza, gli sviluppatori dovranno seguire.
"Ognuno ha la responsabilità come utente Android di stabilire gli standard e di educare te stesso e i tuoi figli", ha detto Fine. "I nostri figli crescono, non sapranno un momento in cui tutto non veniva condiviso." Fine ha continuato che gli sviluppatori "hanno bisogno di provare lo stesso senso di responsabilità".
