Video: Handige tips voor Android-telefoons - wist jij dit al? (November 2024)
Wanneer ik over Android-beveiliging schrijf, zie ik vaak steeds hetzelfde probleem (SSL, jongens! Kom op!). We vroegen Widdit CEO Noam Fine en hoofd van mobiele ontwikkeling Nir Orpaz om uit te leggen waarom Android-ontwikkelaars de beveiligingskeuzes maken die ze maken en wat beter moet worden gedaan na het omgaan met een eigen beveiligingscrisis.
Een gebrek aan kennis
Uit gesprekken met de ontwikkelaars van Widdit lijkt er een loskoppeling te zijn tussen de spelers in het Android-ecosysteem. "Gebruikers zijn niet voldoende opgeleid om te kijken naar wat ze aan hun telefoon toevoegen, " zei Fine. "Ik weet niet zeker of iedereen er echt om geeft."
Ontwikkelaars kennen daarentegen niet altijd de risico's die hun apps kunnen inhouden. "Ontwikkelaars begrijpen niet helemaal dat ze persoonlijke informatie verzenden", zegt Orphaz. Fine ging akkoord en zei dat er geen harde en snelle regels waren over welke informatie echt 'persoonlijk' was.
Een ander probleem zijn externe adverteerders die ontwikkelaars betalen om software-ontwikkelingskits (SDK's) in hun apps op te nemen om informatie over gebruikers te verzamelen. Adverteerders kunnen gegevens uit meerdere apps samenstellen in schokkend gedetailleerde dossiers. De ene app vraagt bijvoorbeeld om uw leeftijd en de andere om uw naam, maar dezelfde adverteerder heeft misschien beide te maken.
Het is vermeldenswaard dat Widdit een soort tussen app-ontwikkeling en reclame is. Ze ontwikkelen een SDK-platform dat in apps kan worden ingevoegd, zodat de app-ontwikkelaar wat geld kan verdienen aan zijn creaties.
Voor Fine legt het gebrek aan gebruikerseducatie de verantwoordelijkheid voor beveiliging volledig op ontwikkelaars. "Als u om uw reputatie geeft, investeert u veel in het onderhouden ervan. Dit betekent net zo goed uw bedrijfspraktijken als uw beveiligingsmethoden", aldus Fine. Hij moedigde ontwikkelaars aan om goed na te denken voordat ze zich aanmelden bij adverteerders en SDK's in hun apps installeren. Hij moedigde ontwikkelaars ook aan om de machtigingen die vereist zijn door SDK's te onderzoeken voordat ze deze in hun app inschakelen. "Als u als ontwikkelaar niet om die machtigingen hebt gevraagd, bent u dan bereid die machtigingen aan de SDK te geven?"
Veilig ontwikkelen
Zowel Fine als Orphaz zeiden dat praten over beveiliging één ding was, maar het implementeren in apps was iets heel anders. Het is een goede gewoonte om een gecodeerde SSL-verbinding te onderhouden voor het verzenden van informatie, maar een uitdaging voor kleine ontwikkelaars. "Je moet een SSL-server krijgen, en soms is dat niet eenvoudig, " legde Orpaz uit. We hebben veel bedrijven gezien die kritiek hebben gekregen op het slopen of verkeerd gebruiken van SSL.
Sommige kwetsbaarheden komen zelfs voor bij de meest elementaire functies. Fine wees bijvoorbeeld op de Android-machtiging waarmee apps verbinding kunnen maken met internet. "Dat is iets wat elke ontwikkelaar doet, " zei Fine. "Als je eenmaal bent verbonden met het netwerk, is dat meteen een kwetsbaarheid."
Hij moedigde ontwikkelaars aan om hun gezond verstand te gebruiken en potentiële risico's in kaart te brengen van de functies die ze in hun apps opnemen en informatie over gebruikers te verzamelen. "Als je dit doet, moet je stoppen en denken 'wat doe ik om de risico's te minimaliseren?'" Zei Fine. "Ik weet niet zeker of de meeste ontwikkelaars dat doen."
Ervaring uit de eerste hand
Widdit had zijn eigen beveiligingsproblemen, die we hebben gemeld in een recente post van Mobile Threat Monday. Hun systeem gebruikt SDK-code in de app die dagelijks een externe server belt om een update naar de Android-telefoon te downloaden. Beveiligingsonderzoekers hebben het als gevaarlijk gemarkeerd omdat de communicatie zonder een SSL-verbinding werd afgehandeld, waardoor een aanvaller het bestand mogelijk kon onderscheppen en door een kwaadaardig bestand kon vervangen.
Fine en Orphaz benadrukten dat ze het probleem al wisten voordat het door onderzoekers werd aangekondigd, en al van plan waren om het in de toekomst op te lossen. "Deze kwetsbaarheid werd gezien als een zeer kleine kans dat dit zou gebeuren. Zodra we het beter begrepen, hebben we ervoor gezorgd dat we onmiddellijk een nieuwe versie uitbrachten." Fine beschreef het succesvol uitvoeren van een aanval met behulp van Widdit als "een op een miljard" kans.
Maar hij gaf toe dat er een verandering moest worden aangebracht. "Het was niet goed genoeg om te zeggen dat het echt een lage waarschijnlijkheid was", zei Fine.
Het is waar dat een aanvaller zich tot het uiterste moet inspannen om Widdit te gebruiken om iemands telefoon aan te vallen. Het zou zeker niet het soort ding zijn dat de gemiddelde Android-oplichter zou proberen. Maar aanvallers kunnen enorme middelen verzamelen als de uitbetaling waardevol is en het landschap van mobiele dreigingen voortdurend verandert. Wat vandaag een miljard-op-een kans is, kan morgen zeker zijn.
Iedereen, speel meer
Android-gebruikers maken zich mogelijk meer zorgen over de beveiliging vanwege de onthullingen van Snowden over het verzamelen van NSA-gegevens, maar ze moeten ook naar hun eigen apps kijken. We hebben al gezien hoe de spionagebureaus profiteren van games zoals Angry Birds om hun informatie te verzamelen. Fine zei dat gebruikers het Android-ecosysteem besturen, en als ze betere beveiliging eisen, moeten de ontwikkelaars volgen.
"Iedereen heeft de verantwoordelijkheid als Android-gebruiker om de norm te bepalen en uzelf en uw kinderen te onderwijzen, " zei Fine. "Onze kinderen die opgroeien, zullen geen tijd kennen waarin niet alles werd gedeeld." Fine vervolgde dat ontwikkelaars, "hetzelfde gevoel van verantwoordelijkheid moeten voelen."
