Vídeo: Nuki Opener (EN) - Smarten up your intercom - Amazon Alexa, Google Assistant, IFTTT (Setembre 2024)
Quan escric sobre seguretat Android, acostumo a veure moltes vegades el mateix problema una vegada i una altra (SSL, nois! Vaja!). Vam demanar al CEO de Widdit, Noam Fine, i al cap de desenvolupament de telefonia mòbil, Nir Orpaz, que expliqués per què els desenvolupadors d’Android adopten les opcions de seguretat que fan i què cal fer millor després d’afrontar una crisi de seguretat pròpia.
Falta de coneixement
De parlar amb els desenvolupadors de Widdit, sembla haver-hi una desconnexió entre els reproductors de l'ecosistema Android. "L'usuari no està educat prou per mirar què afegir al seu telèfon", va dir Fine. "No estic segur que a tothom li importa tant".
D'altra banda, els desenvolupadors no sempre saben els riscos que poden suposar les seves aplicacions. "Els desenvolupadors no entenen del tot que el que transmeten és informació personal", va dir Orphaz. Fins va coincidir, dient que no hi havia regles dures i ràpides sobre la informació realment "personal".
Un altre problema són els anunciants de tercers que paguen als desenvolupadors per incloure kits de desenvolupament de programari (SDKs) a les seves aplicacions per obtenir informació sobre els usuaris. Els anunciants poden recopilar dades de diverses aplicacions en dossiers detalladament impactants. Per exemple, una aplicació pot demanar la vostra edat i una altra pel vostre nom, però el mateix anunciant podria tenir ofertes amb les dues coses.
Val la pena assenyalar que Widdit és un tipus entre el desenvolupament d'aplicacions i la publicitat. Desenvolupen una plataforma SDK que es pot inserir a les aplicacions perquè el desenvolupador d'aplicacions pugui guanyar diners amb les seves creacions.
En definitiva, la manca d’educació dels usuaris suposa la seguretat exclusivament als desenvolupadors. "Si us preocupa la vostra reputació, invertiu molts esforços en mantenir-la. Això significa que les vostres pràctiques empresarials són igual que les vostres pràctiques de seguretat", va dir Fine. Va animar els desenvolupadors a pensar amb atenció abans de signar-se amb els anunciants i instal·lar SDKs a les seves aplicacions. També va animar els desenvolupadors a examinar els permisos requerits pels SDK abans d’habilitar-los a la seva aplicació. "Si vosaltres com a desenvolupador no heu demanat aquests permisos, esteu disposats a donar als SDK aquests permisos?"
Desenvolupar de forma segura
Tant Fine com Orphaz van dir que parlar de seguretat era una cosa, però implementar-ho en aplicacions era una altra. Mantenir una connexió SSL xifrada per transmetre informació és una bona pràctica, però que pot ser un desafiament per a petits desenvolupadors. "Heu d'aconseguir un servidor SSL i, de vegades, no és fàcil", va explicar Orpaz. Hem vist moltes empreses criticades per reduir o mal administrar SSL.
Algunes vulnerabilitats creixen fins i tot de les funcions més bàsiques. Per exemple, Fine va assenyalar el permís d'Android que permet a les aplicacions connectar-se a Internet. "És el que tots els desenvolupadors fan", va dir Fine. "Un cop us hagueu connectat a la xarxa, això és immediatament una vulnerabilitat."
Va animar els desenvolupadors a utilitzar el sentit comú i a mapar els riscos potencials de les funcions que inclouen a les seves aplicacions, així com a recopilar informació sobre els usuaris. "Si estàs fent això, has de parar-te i pensar 'què faig per minimitzar els riscos?", Va dir Fine. "No estic segur que la majoria de desenvolupadors ho facin."
Experiència de primera mà
Widdit tenia els seus propis problemes de seguretat, que vam informar en un recent missatge de Mobile Threat Monday. El seu sistema utilitza codi SDK dins de l’aplicació que truca diàriament a un servidor remot per descarregar una actualització al telèfon Android. Els investigadors de seguretat ho van marcar com a perillós ja que la comunicació es gestionava sense connexió SSL, cosa que permetia a un atacant interceptar el fitxer i reemplaçar-lo per un de maliciós.
Fine i Orphaz van destacar que coneixien el problema abans que fos anunciat pels investigadors i que ja tenien previst solucionar-lo en el futur. "Aquesta vulnerabilitat es va percebre com a molt baixa probabilitat de passar. Un cop la vam entendre millor, vam tenir cura si de seguida vam llançar una nova versió." Fini va descriure dur a terme amb èxit un atac amb Widdit com a "oportunitat de mil milions".
Però va reconèixer que calia fer un canvi. "No va ser prou bo dir que era una probabilitat realment baixa", va dir Fine.
És cert que un atacant hauria d’anar a grans trets per utilitzar Widdit per atacar el telèfon d’algú. Sens dubte, no seria el tipus de cosa que intentaria un estafador mitjà d’Android. Però els atacants poden reunir recursos enormes si la recompensa és vàlida i el paisatge de l'amenaça mòbil canvia tot el temps. El que podria ser avui una oportunitat de mil milions a una podria ser una cosa segura demà.
Tothom, Up Your Game
Els usuaris d'Android poden estar més preocupats per la seguretat a causa de les revelacions de Snowden sobre la recollida de dades de la NSA, però també haurien de mirar les seves pròpies aplicacions. Ja hem vist com les agències d’espionatge aprofiten jocs com Angry Birds per fer la recollida d’informació. Fine va dir que els usuaris impulsen l'ecosistema d'Android i, si exigeixen una millor seguretat, hauran de seguir els desenvolupadors.
"Tothom té la responsabilitat com a usuari d'Android d'establir l'estàndard i educar-lo a si mateix i als vostres fills", va dir Fine. "Els nostres fills creixen, no sabran un moment en què no es compartia tot." Va continuar que els desenvolupadors "han de sentir el mateix sentit de la responsabilitat".
