Video: ALIBABA - Bé Tú Anh | Nhạc Thiếu Nhi [MV Official] (Tháng Chín 2024)
Khi viết về bảo mật Android, tôi có xu hướng thấy rất nhiều vấn đề tương tự lặp đi lặp lại (SSL, các bạn! Cố lên!). Chúng tôi đã yêu cầu Giám đốc điều hành Widdit Noam Fine và người đứng đầu bộ phận phát triển di động Nir Orpaz giải thích lý do tại sao các nhà phát triển Android đưa ra các lựa chọn bảo mật họ làm và những gì cần phải làm tốt hơn sau khi xử lý khủng hoảng bảo mật của chính họ.
Thiếu kiến thức
Từ việc nói chuyện với các nhà phát triển của Widdit, dường như có sự mất kết nối giữa những người chơi trong hệ sinh thái Android. "Người dùng không được giáo dục đủ để xem những gì họ đang thêm vào điện thoại của họ", Fine nói. "Tôi không chắc mọi người thực sự quan tâm đến thế."
Mặt khác, các nhà phát triển không phải lúc nào cũng biết những rủi ro mà ứng dụng của họ có thể gây ra. "Các nhà phát triển không hoàn toàn hiểu rằng những gì họ truyền tải là thông tin cá nhân", Orphaz nói. Fine đồng ý, nói rằng không có quy tắc cứng và nhanh nào về thông tin nào thực sự là "cá nhân".
Một vấn đề khác là các nhà quảng cáo bên thứ ba trả tiền cho các nhà phát triển để đưa bộ công cụ phát triển phần mềm (SDK) vào ứng dụng của họ để thu thập thông tin về người dùng. Các nhà quảng cáo có thể biên dịch dữ liệu từ nhiều ứng dụng thành các hồ sơ chi tiết gây sốc. Ví dụ: một ứng dụng có thể hỏi tuổi của bạn và một ứng dụng khác cho tên của bạn, nhưng cùng một nhà quảng cáo có thể có giao dịch với cả hai.
Điều đáng chú ý là Widdit là loại giữa phát triển ứng dụng và quảng cáo. Họ phát triển một nền tảng SDK có thể được chèn vào các ứng dụng để nhà phát triển ứng dụng có thể kiếm được một số tiền từ sáng tạo của họ.
Đối với Fine, việc thiếu giáo dục người dùng đặt trách nhiệm bảo mật hoàn toàn cho các nhà phát triển. "Nếu bạn quan tâm đến danh tiếng của mình, bạn đầu tư rất nhiều nỗ lực để duy trì nó. Điều này có nghĩa là các hoạt động kinh doanh của bạn cũng giống như các hoạt động bảo mật của bạn", Fine nói. Ông khuyến khích các nhà phát triển suy nghĩ cẩn thận trước khi đăng ký với các nhà quảng cáo và cài đặt SDK vào ứng dụng của họ. Ông cũng khuyến khích các nhà phát triển kiểm tra các quyền theo yêu cầu của SDK trước khi bật chúng trên ứng dụng của họ. "Nếu bạn là nhà phát triển không yêu cầu các quyền đó, bạn có sẵn sàng cung cấp cho SDK các quyền đó không?"
Phát triển an toàn
Cả Fine và Orphaz đều nói rằng nói về bảo mật là một chuyện, nhưng thực hiện nó trong các ứng dụng lại là một chuyện khác. Duy trì kết nối SSL được mã hóa để truyền thông tin là một cách tốt, nhưng có thể là một thách thức đối với các nhà phát triển nhỏ. "Bạn phải có được một máy chủ SSL và đôi khi đó không phải là một điều dễ dàng để có được", Orpaz giải thích. Chúng tôi đã thấy rất nhiều công ty bị chỉ trích vì trốn tránh hoặc xử lý sai SSL.
Một số lỗ hổng tăng lên từ các chức năng cơ bản nhất. Ví dụ, Fine chỉ vào quyền của Android cho phép các ứng dụng kết nối với Internet. "Đó là điều mà mọi nhà phát triển đều làm", Fine nói. "Một khi bạn đã kết nối với mạng, đó ngay lập tức là một lỗ hổng."
Ông khuyến khích các nhà phát triển sử dụng ý thức chung và lập bản đồ rủi ro tiềm ẩn của các tính năng mà họ đưa vào ứng dụng cũng như thu thập thông tin về người dùng. "Nếu bạn đang làm điều này, bạn cần dừng lại và suy nghĩ" tôi đang làm gì để giảm thiểu rủi ro? "" Fine nói. "Tôi không chắc chắn hầu hết các nhà phát triển làm điều đó."
Kinh nghiệm đầu đời
Widdit có vấn đề bảo mật của riêng mình, mà chúng tôi đã báo cáo trong bài đăng Thứ Hai về Đe dọa Di động gần đây. Hệ thống của họ sử dụng mã SDK trong ứng dụng hàng ngày gọi một máy chủ từ xa để tải xuống bản cập nhật cho điện thoại Android. Các nhà nghiên cứu bảo mật đã đánh dấu nó là nguy hiểm vì giao tiếp được xử lý mà không có kết nối SSL, có khả năng cho phép kẻ tấn công chặn tệp và thay thế bằng tệp độc hại.
Fine và Orphaz nhấn mạnh rằng họ đã biết về vấn đề này trước khi nó được các nhà nghiên cứu công bố và đã lên kế hoạch khắc phục nó trong tương lai. "Lỗ hổng này được coi là có xác suất xảy ra rất thấp. Một khi chúng tôi hiểu rõ hơn, chúng tôi đã cẩn thận nếu ngay lập tức và phát hành một phiên bản mới." Fine mô tả thành công một cuộc tấn công sử dụng Widdit là cơ hội "một trong một tỷ".
Nhưng ông thừa nhận rằng một sự thay đổi cần phải được thực hiện. "Thật không đủ tốt để nói rằng đó là xác suất thực sự thấp", Fine nói.
Đúng là kẻ tấn công sẽ phải nỗ lực rất nhiều để sử dụng Widdit để tấn công điện thoại của ai đó. Nó chắc chắn sẽ không phải là điều mà kẻ lừa đảo Android trung bình sẽ cố gắng. Nhưng những kẻ tấn công có thể tập hợp các nguồn lực khổng lồ nếu mức chi trả là xứng đáng và bối cảnh mối đe dọa di động đang thay đổi mọi lúc. Những gì có thể là một cơ hội một tỷ một ngày hôm nay, có thể là một điều chắc chắn vào ngày mai.
Mọi người, lên trò chơi của bạn
Người dùng Android có thể quan tâm nhiều hơn đến bảo mật vì những tiết lộ của Snowden về thu thập dữ liệu NSA, nhưng họ cũng nên xem xét các ứng dụng của riêng họ. Chúng ta đã thấy các cơ quan gián điệp đang lợi dụng các trò chơi như Angry Birds để thu thập thông tin của họ như thế nào. Fine nói rằng người dùng điều khiển hệ sinh thái Android và nếu họ yêu cầu bảo mật tốt hơn, các nhà phát triển sẽ phải tuân theo.
"Mọi người đều có trách nhiệm là người dùng Android để thiết lập tiêu chuẩn và giáo dục bản thân và con cái của bạn", Fine nói. "Những đứa trẻ của chúng tôi lớn lên, chúng sẽ không biết một thời gian khi mọi thứ không được chia sẻ." Fine tiếp tục rằng các nhà phát triển, "cần phải cảm thấy cùng một trách nhiệm."
