بيت Securitywatch تبهرج! يحتاج الجميع إلى التفكير في الأمن الروبوت

تبهرج! يحتاج الجميع إلى التفكير في الأمن الروبوت

فيديو: رقص اطÙ�ال يجنن (شهر نوفمبر 2024)

فيديو: رقص اطÙ�ال يجنن (شهر نوفمبر 2024)
Anonim

عند الكتابة عن أمان Android ، أميل إلى رؤية الكثير من نفس المشكلة مرارًا وتكرارًا (طبقة المقابس الآمنة ، الرجال! هيا!). لقد طلبنا من الرئيس التنفيذي لشركة Widdit Noam Fine ورئيس قسم تطوير الأجهزة المحمولة Nir Orpaz توضيح سبب قيام مطوري Android باتخاذ الخيارات الأمنية التي يقومون بها وما الذي يجب القيام به بشكل أفضل بعد التعامل مع أزمة أمنية خاصة بهم.

نقص المعرفة

من التحدث إلى مطوري Widdit ، يبدو أن هناك انفصالًا بين اللاعبين في نظام Android البيئي. وقال فاين: "لا يتعلم المستخدم بما يكفي للنظر في ما يضيفونه إلى هواتفهم". "لست متأكدًا من أن الجميع يهتم حقًا بهذا القدر".

من ناحية أخرى ، لا يعرف المطورون دائمًا المخاطر التي يمكن أن تمثلها تطبيقاتهم. وقال Orphaz: "لا يفهم المطورون تمامًا أن ما ينقلونه هو معلومات شخصية". وافق فاين قائلاً إنه لا توجد قواعد صارمة وسريعة بشأن المعلومات التي كانت "شخصية" حقًا.

هناك مشكلة أخرى تتمثل في المعلنين الخارجيين الذين يدفعون للمطورين تضمين أدوات تطوير البرامج (SDK) في تطبيقاتهم لجمع المعلومات عن المستخدمين. يمكن للمعلنين تجميع البيانات من تطبيقات متعددة إلى ملفات مفصلة بشكل مثير للصدمة. على سبيل المثال ، قد يسأل أحد التطبيقات عن عمرك والآخر عن اسمك ، ولكن ربما يكون للمعلن نفسه صفقات مع كليهما.

تجدر الإشارة إلى أن Widdit هو نوع من تطوير التطبيق والإعلانات. إنهم يطورون منصة SDK التي يمكن إدراجها في التطبيقات حتى يتمكن مطور التطبيق من كسب بعض المال من إبداعاته.

إلى Fine ، يضع نقص تعليم المستخدم عبء الأمان تمامًا على المطورين. وقال فاين: "إذا كنت تهتم بسمعتك ، فإنك تستثمر الكثير من الجهد في الحفاظ عليها. وهذا يعني ممارسات عملك تمامًا مثل ممارسات الأمان الخاصة بك". وشجع المطورين على التفكير بعناية قبل الاشتراك مع المعلنين وتثبيت SDKs في تطبيقاتهم. كما شجع المطورين على فحص الأذونات التي تتطلبها SDK قبل تمكينهم من تطبيقهم. "إذا كنت كمطور لم تطلب هذه الأذونات ، فهل أنت على استعداد لمنح SDK تلك الأذونات؟"

النامية بشكل آمن

قال كل من Fine و Orphaz إن الحديث عن الأمان كان شيئًا واحدًا ، لكن تطبيقه في التطبيقات كان شيئًا آخر تمامًا. تعد المحافظة على اتصال SSL مشفر لنقل المعلومات من الممارسات الجيدة ، ولكنها قد تشكل تحديًا للمطورين الصغار. "يجب أن تحصل على خادم طبقة مآخذ توصيل آمنة (SSL) ، وأحيانًا لا يكون ذلك أمرًا سهلاً" ، أوضح أورباز. لقد رأينا الكثير من الشركات تنتقد بسبب التهرب من طبقة المقابس الآمنة أو إساءة معاملتها.

تظهر بعض نقاط الضعف حتى من أكثر الوظائف الأساسية. على سبيل المثال ، أشار Fine إلى إذن Android الذي يسمح للتطبيقات بالاتصال بالإنترنت. وقال فاين: "هذا شيء يفعله كل مطور. بمجرد اتصالك بالشبكة ، تكون هذه نقطة ضعف على الفور."

وشجع المطورين على استخدام الحس السليم ، وتحديد المخاطر المحتملة للميزات التي يتضمنونها في تطبيقاتهم وكذلك جمع المعلومات عن المستخدمين. وقال فاين "إذا كنت تفعل هذا ، فأنت بحاجة إلى التوقف والتفكير" ماذا أفعل لتقليل المخاطر؟ "لست متأكدًا من أن معظم المطورين يقومون بذلك."

التجربة الاولية

واجهت Widdit مشكلاتها الأمنية الخاصة ، والتي أبلغنا عنها في منشور الاثنين الماضي حول Mobile Threat. يستخدم نظامهم رمز SDK داخل التطبيق الذي يتصل يوميًا بخادم بعيد لتنزيل تحديث على هاتف Android. اعتبر باحثو الأمن أنه أمر خطير نظرًا لأن الاتصال تم التعامل معه دون اتصال SSL ، مما قد يسمح للمهاجمين باعتراض الملف واستبداله بآخر ضار.

أكد Fine and Orphaz على معرفتهما بالمشكلة قبل إعلان الباحثين عنها ، وقد خططا بالفعل لإصلاحها في المستقبل. "كان يُنظر إلى مشكلة عدم الحصانة هذه على وجود احتمال ضعيف للغاية بحدوثها. بمجرد أن تفهمناها بشكل أفضل ، اعتنينا بذلك فورًا وأصدرنا نسخة جديدة." وصف Fine تنفيذ الهجوم بنجاح باستخدام Widdit بأنه فرصة "واحدة في المليار".

لكنه اعترف بأنه يجب إجراء تغيير. وقال فاين: "لم يكن جيدًا أن نقول إنه كان احتمالًا ضعيفًا حقًا".

صحيح أن المهاجم يجب أن يبذل قصارى جهده لاستخدام Widdit لمهاجمة هاتف شخص ما. بالتأكيد لن يكون هذا هو الشيء الذي سيحاوله المخادع العادي لنظام Android. لكن يمكن للمهاجمين حشد موارد هائلة إذا كانت المكافأة جديرة بالاهتمام ، وكان مشهد تهديد الهاتف المحمول يتغير طوال الوقت. ما قد يكون فرصة مليار إلى واحد اليوم ، يمكن أن يكون شيء مؤكد غدا.

الجميع ، حتى لعبتك

قد يكون مستخدمو Android أكثر قلقًا بشأن الأمان بسبب الكشف عن سنودن حول جمع بيانات NSA ، لكن ينبغي أن ينظروا أيضًا إلى تطبيقاتهم الخاصة. لقد رأينا بالفعل كيف تستغل وكالات التجسس ألعابًا مثل Angry Birds للقيام بجمع المعلومات الخاصة بها. قال فاين إن المستخدمين يقودون نظام Android البيئي ، وإذا طلبوا أمانًا أفضل ، فسيتعين على المطورين اتباعه.

وقال فاين "الجميع يتحمل مسؤولية كمستخدم لنظام أندرويد لوضع المعايير وتثقيف نفسك وأطفالك" "أطفالنا يكبرون ، لن يعرفوا وقتًا لم تتم فيه مشاركة كل شيء." واصل فاين أن المطورين "بحاجة إلى الشعور بنفس الشعور بالمسؤولية".

تبهرج! يحتاج الجميع إلى التفكير في الأمن الروبوت