Video: Aplikasi keamanan android (Oktober 2024)
Saat menulis tentang keamanan Android, saya cenderung melihat banyak masalah yang sama berulang-ulang (SSL, teman! Ayo!). Kami meminta CEO Widdit Noam Fine dan kepala pengembangan ponsel Nir Orpaz untuk menjelaskan mengapa pengembang Android membuat pilihan keamanan yang mereka lakukan dan apa yang perlu dilakukan dengan lebih baik setelah berurusan dengan krisis keamanan mereka sendiri.
Kurangnya Pengetahuan
Dari berbicara dengan pengembang Widdit, tampaknya ada pemutusan antara para pemain di ekosistem Android. "Pengguna tidak cukup berpendidikan untuk melihat apa yang mereka tambahkan ke telepon mereka, " kata Fine. "Aku tidak yakin semua orang benar-benar peduli."
Pengembang, di sisi lain, tidak selalu tahu risiko yang bisa diwakili oleh aplikasi mereka. "Pengembang tidak sepenuhnya memahami bahwa apa yang mereka kirimkan adalah informasi pribadi, " kata Orphaz. Fine setuju, mengatakan bahwa tidak ada aturan keras dan cepat tentang informasi apa yang benar-benar "pribadi."
Masalah lain adalah pengiklan pihak ketiga yang membayar pengembang untuk memasukkan perangkat pengembangan perangkat lunak (SDK) ke dalam aplikasi mereka untuk mengumpulkan informasi tentang pengguna. Pengiklan dapat mengkompilasi data dari beberapa aplikasi ke dalam dokumen yang sangat terperinci. Misalnya, satu aplikasi mungkin menanyakan usia Anda, dan yang lain untuk nama Anda, tetapi pengiklan yang sama mungkin memiliki keduanya.
Perlu dicatat bahwa Widdit adalah semacam pengembangan aplikasi dan iklan. Mereka mengembangkan platform SDK yang dapat dimasukkan ke dalam aplikasi sehingga pengembang aplikasi dapat memperoleh uang dari kreasi mereka.
Untuk Fine, kurangnya pendidikan pengguna menempatkan tanggung jawab untuk keamanan sepenuhnya pada pengembang. "Jika Anda peduli dengan reputasi Anda, Anda menginvestasikan banyak upaya untuk mempertahankannya. Ini berarti praktik bisnis Anda sama seperti praktik keamanan Anda, " kata Fine. Dia mendorong pengembang untuk berpikir dengan hati-hati sebelum mendaftar dengan pengiklan dan menginstal SDK ke dalam aplikasi mereka. Dia juga mendorong pengembang untuk memeriksa izin yang diperlukan oleh SDK sebelum mengaktifkannya di aplikasi mereka. "Jika Anda sebagai pengembang tidak meminta izin itu, apakah Anda bersedia memberikan izin tersebut kepada SDK?"
Berkembang dengan Aman
Baik dan Orphaz mengatakan bahwa berbicara tentang keamanan adalah satu hal, tetapi menerapkannya di aplikasi adalah hal lain. Mempertahankan koneksi SSL terenkripsi untuk mengirimkan informasi adalah praktik yang baik, tetapi yang dapat menjadi tantangan bagi pengembang kecil. "Anda harus mendapatkan server SSL, dan terkadang itu bukan hal yang mudah untuk didapatkan, " jelas Orpaz. Kami telah melihat banyak perusahaan yang dikritik karena melalaikan atau salah menangani SSL.
Beberapa kerentanan muncul bahkan dari fungsi yang paling dasar. Sebagai contoh, Fine menunjuk pada izin Android yang memungkinkan aplikasi terhubung ke Internet. "Itulah yang dilakukan oleh setiap pengembang, " kata Fine. "Setelah Anda terhubung ke jaringan, itu akan segera menjadi kerentanan."
Dia mendorong pengembang untuk menggunakan akal sehat, dan memetakan potensi risiko dari fitur yang mereka sertakan dalam aplikasi mereka serta mengumpulkan informasi tentang pengguna. "Jika Anda melakukan ini, Anda perlu berhenti dan berpikir 'apa yang saya lakukan untuk meminimalkan risiko?'" Kata Fine. "Saya tidak yakin sebagian besar pengembang melakukan itu."
Pengalaman tangan pertama
Widdit memiliki masalah keamanan sendiri, yang kami laporkan dalam pos Senin Ancaman Seluler baru-baru ini. Sistem mereka menggunakan kode SDK dalam aplikasi yang setiap hari memanggil server jarak jauh untuk mengunduh pembaruan ke ponsel Android. Peneliti keamanan menandainya berbahaya karena komunikasi tersebut ditangani tanpa koneksi SSL, berpotensi memungkinkan penyerang mencegat file dan menggantinya dengan yang jahat.
Fine dan Orphaz menekankan bahwa mereka tahu tentang masalah sebelum diumumkan oleh para peneliti, dan sudah merencanakan untuk memperbaikinya di masa depan. "Kerentanan ini dianggap memiliki probabilitas yang sangat rendah untuk terjadi. Setelah kami memahaminya dengan lebih baik, kami segera merawatnya dan merilis versi baru." Fine digambarkan berhasil melakukan serangan menggunakan Widdit sebagai peluang "satu dalam satu miliar".
Tetapi dia mengakui bahwa perubahan harus dilakukan. "Tidak cukup baik untuk mengatakan bahwa itu kemungkinan yang sangat rendah, " kata Fine.
Memang benar bahwa penyerang harus berusaha keras untuk menggunakan Widdit untuk menyerang ponsel seseorang. Itu tentu tidak akan menjadi semacam hal yang akan dilakukan oleh kebanyakan penipu Android. Tetapi penyerang dapat mengumpulkan sumber daya yang sangat besar jika imbalannya layak, dan lanskap ancaman seluler berubah sepanjang waktu. Apa yang mungkin menjadi peluang satu lawan satu hari ini, bisa menjadi hal yang pasti besok.
Semuanya, Naik Game Anda
Pengguna Android mungkin lebih khawatir tentang keamanan karena wahyu Snowden tentang pengumpulan data NSA, tetapi mereka juga harus melihat aplikasi mereka sendiri. Kita telah melihat bagaimana agen mata-mata memanfaatkan permainan seperti Angry Birds untuk melakukan pengumpulan informasi mereka. Fine mengatakan bahwa pengguna menggerakkan ekosistem Android, dan jika mereka menuntut keamanan yang lebih baik, pengembang harus mengikuti.
"Setiap orang memiliki tanggung jawab sebagai pengguna Android untuk menetapkan standar dan mendidik diri sendiri dan anak-anak Anda, " kata Fine. "Anak-anak kita tumbuh dewasa, mereka tidak akan tahu kapan semuanya tidak dibagikan." Baik lanjut bahwa pengembang, "perlu merasakan rasa tanggung jawab yang sama."
