ビデオ: Smarten Up (feat. Soudiere & Epvr) (九月 2024)
Androidのセキュリティについて書くとき、私は同じ問題を何度も何度も目にする傾向があります(SSL、みんな!さあ!)。 WidditのCEOであるNoam Fineとモバイル開発責任者のNir Orpazに、Android開発者がセキュリティの選択をする理由と、独自のセキュリティ危機に対処した後の改善策を説明してもらいました。
知識の欠如
Widditの開発者と話をすることから、Androidエコシステムのプレーヤーの間には断絶があるようです。 「ユーザーは、自分の携帯電話に追加するものを見るだけの教育を受けていません」とFine氏は述べています。 「誰もがそんなに気にかけているとは思いません。」
一方、開発者は、アプリが表すリスクを常に把握しているわけではありません。 「開発者は、送信するのが個人情報であることを完全には理解していません」とOrphazは言いました。 ファインは同意し、どのような情報が実際に「個人」であるかについての厳格なルールは存在しないと述べました。
もう1つの問題は、ユーザーに関する情報を収集するためにアプリにソフトウェア開発キット(SDK)を含めるよう開発者に支払うサードパーティの広告主です。 広告主は、複数のアプリからのデータを驚くほど詳細な関係書類にまとめることができます。 たとえば、あるアプリがあなたの年齢を要求し、別のアプリがあなたの名前を要求するかもしれませんが、同じ広告主が両方を扱っているかもしれません。
Widditはアプリ開発と広告の中間に位置することは注目に値します。 彼らはアプリに挿入できるSDKプラットフォームを開発し、アプリ開発者は作成物からいくらかのお金を稼ぐことができます。
良いことに、ユーザー教育の欠如は、開発者に完全にセキュリティの責任を負わせます。 「評判を気にするなら、それを維持するために多大な労力を費やします。これは、セキュリティ慣行と同じくらいビジネス慣行を意味します」とFineは言いました。 彼は、開発者が広告主にサインアップし、アプリにSDKをインストールする前に慎重に考えることを奨励しました。 また、開発者がアプリでSDKを有効にする前に、SDKに必要な権限を調べることを奨励しました。 「開発者としてこれらの許可を求めなかった場合、SDKにこれらの許可を与えてもよいですか?」
安全な開発
FineとOrphazは、セキュリティについて話すことは一つのことですが、アプリにセキュリティを実装することはまったく別のことだと言いました。 情報を送信するために暗号化されたSSL接続を維持することは良い習慣ですが、小規模な開発者にとっては難しいことです。 「SSLサーバーを取得する必要がありますが、取得するのは簡単ではない場合があります」とOrpaz氏は説明します。 多くの企業が、SSLを不当に扱い、誤った取り扱いをしていると非難しています。
いくつかの脆弱性は、最も基本的な機能からも生じます。 たとえば、Fineは、アプリがインターネットに接続することを許可するAndroidの許可を示しました。 「それはすべての開発者が行うことです」とFine氏は述べています。「ネットワークに接続すると、すぐに脆弱性になります。」
彼は、開発者に常識を使用し、アプリに含まれる機能の潜在的なリスクをマッピングすることと、ユーザーに関する情報を収集することを奨励しました。 「これをしている場合、停止し、「リスクを最小限に抑えるために私は何をしていますか?」 「ほとんどの開発者がそれを行うかどうかはわかりません。」
直接体験
Widditには独自のセキュリティ問題がありましたが、これは最近のモバイル脅威月曜日の投稿で報告しました。 彼らのシステムはアプリ内のSDKコードを使用して、毎日リモートサーバーを呼び出してAndroid携帯電話にアップデートをダウンロードします。 通信はSSL接続なしで処理され、攻撃者がファイルを傍受して悪意のあるファイルに置き換える可能性があるため、セキュリティ研究者はそれを危険だとフラグを立てました。
FineとOrphazは、問題が研究者によって発表される前に知っていて、将来修正することをすでに計画していたことを強調しました。 「この脆弱性は、発生する可能性が非常に低いと認識されていました。それをよりよく理解したら、すぐに注意して新しいバージョンをリリースしました。」 Fineは、Widditを使用した攻撃の実行が「10億分の1」のチャンスであると説明しました。
しかし、彼は変更が必要であることを認めました。 「それは本当に低い確率だと言うのは十分ではありませんでした」とファインは言いました。
Widditを使用して誰かの電話を攻撃するためには、攻撃者がかなりの時間を費やす必要があるのは事実です。 それは確かに、平均的なAndroid詐欺師が試みるようなものではないでしょう。 しかし、見返りに価値があり、モバイルの脅威の状況が常に変化している場合、攻撃者は膨大なリソースを集めることができます。 今日は10億対1のチャンスかもしれないが、明日は確実なことになるかもしれない。
みなさん、ゲームアップ
Androidユーザーは、NSAのデータ収集に関するSnowdenの啓示により、セキュリティをより重視する可能性がありますが、独自のアプリも検討する必要があります。 私たちは、スパイ機関がどのようにAngry Birdsのようなゲームを利用して情報収集を行っているかを見てきました。 Fineは、ユーザーはAndroidエコシステムを推進しており、より良いセキュリティが必要な場合、開発者は従わなければならないと述べています。
「Androidユーザーとして、誰もが基準を設定し、自分自身とあなたの子供たちを教育する責任を負っています」とFine氏は言います。 「私たちの子供たちは成長しています。彼らはすべてが共有されていない時間を知りません。」 開発者は、「同じ責任感を感じる必要がある」と続けました。
