视频: Маркетинговая стратегия за 30 минут. Александр Феоктистов, Яндекс.Маркет (十一月 2024)
在撰写有关Android安全性的文章时,我往往会一遍又一遍地看到很多相同的问题(SSL,伙计们!加油!)。 我们请Widdit首席执行官Noam Fine和移动开发负责人Nir Orpaz解释为什么Android开发人员会做出他们自己的安全选择,以及在应对自己的安全危机后需要做些什么。
缺乏知识
从与Widdit的开发人员交谈来看,Android生态系统中的玩家之间似乎存在脱节。 “用户的教育程度不足以了解他们在手机中添加了什么。” Fine说。 “我不确定所有人是否真的那么在乎。”
另一方面,开发人员并不总是知道其应用程序可能带来的风险。 Orphaz说:“开发人员并不完全了解他们传输的是个人信息。” 芬恩同意了这一观点,他说对于什么信息真正是“个人”没有严格的规定。
另一个问题是第三方广告商,他们向开发人员付款,将软件开发工具包(SDK)纳入其应用程序以收集有关用户的信息。 广告商可以将来自多个应用程序的数据汇编成令人震惊的详细档案。 例如,一个应用程序可能会询问您的年龄,而另一个应用程序会询问您的姓名,但同一位广告客户可能会同时要求两者。
值得注意的是,Widdit介于应用程序开发和广告之间。 他们开发了可以插入应用程序的SDK平台,因此应用程序开发人员可以从自己的创作中赚钱。
对Fine而言,缺乏用户培训会使安全性完全由开发人员承担。 “如果您在乎自己的声誉,就会花很多精力来维护它。这意味着您的业务实践与安全实践一样多,” Fine说。 他鼓励开发人员在与广告商签约并将SDK安装到他们的应用程序之前,应仔细考虑。 他还鼓励开发人员在SDK上启用其应用程序之前,先检查其所需的权限。 “如果您作为开发人员没有要求这些权限,您是否愿意为SDK提供这些权限?”
安全发展
Fine和Orphaz都说,谈论安全性是一回事,但在应用程序中实施安全性则是另一回事。 维护加密的SSL连接以传输信息是一种好习惯,但对于小型开发人员而言可能是个挑战。 Orpaz解释说:“您必须获得一个SSL服务器,有时这并非易事。” 我们已经看到许多公司因逃避或处理SSL错误而受到批评。
一些漏洞甚至来自最基本的功能。 例如,Fine指出了允许应用程序连接到Internet的Android权限。 Fine说:“这是每个开发人员都要做的。一旦连接到网络,那将立即成为漏洞。”
他鼓励开发人员使用常识,并确定他们包含在应用程序中的功能的潜在风险,并收集有关用户的信息。 “如果您正在这样做,您需要停下来想一想'我正在做什么以最大程度地降低风险?” Fine说。 “我不确定大多数开发商会这样做。”
第一手经验
Widdit有其自身的安全问题,我们在最近的“移动威胁星期一”帖子中报告了此问题。 他们的系统使用该应用程序中的SDK代码,该代码每天调用一个远程服务器以将更新下载到Android手机。 安全研究人员将其标记为危险,因为通信是在没有SSL连接的情况下进行的,这可能使攻击者能够拦截该文件并将其替换为恶意文件。
Fine和Orphaz强调说,他们在研究人员宣布该问题之前就已经知道该问题,并且已经计划在将来进行修复。 “该漏洞的发生几率很小。一旦我们更好地理解了该漏洞,我们会立即采取措施并发布新版本。” Fine将成功使用Widdit进行攻击描述为“十亿分之一”的机会。
但是他承认必须做出改变。 菲恩说:“说这种可能性真的很低还不够好。”
的确,攻击者必须竭尽全力才能使用Widdit攻击某人的电话。 当然,这不是一般的Android骗子会尝试的事情。 但是,如果回报是有价值的,那么攻击者可以聚集大量资源,并且移动威胁格局一直在变化。 今天可能有十亿比一的机会,明天可能会确定。
大家,努力
由于斯诺登(Snowden)关于NSA数据收集的启示,Android用户可能更担心安全性,但他们也应该关注自己的应用。 我们已经看到间谍机构如何利用“愤怒的小鸟”之类的游戏进行信息收集。 Fine表示,用户驱动着Android生态系统,如果他们需要更好的安全性,则开发人员必须遵循。
Fine说:“作为Android用户,每个人都有责任设定标准并教育自己和孩子。” “我们的孩子长大了,他们不会知道没有共享所有内容的时间。” 芬继续说,开发商“需要感受到同样的责任感”。
