API Android / problemi di sicurezza dello sviluppo

Naviga le tue risposte
18

Quali sono i problemi di sicurezza più importanti di cui gli sviluppatori di app Android devono sapere? Quali sono le maggiori insidie o tipi di vulnerabilità di cui hanno bisogno a cui prestare attenzione? Un problema di sicurezza per risposta, per favore. Sono particolarmente interessato a problemi a livello di implementazione, difetti del software, ecc.

Modifica : sono più interessato ai guasti a livello di implementazione (piuttosto che a difetti concettuali / architettonici / di progettazione) e a difetti specifici delle app Android (piuttosto che a difetti che si applicano a tutti i software applicativi) o tutto il software client connesso in rete). Ci sono delle trappole nell'utilizzo delle API Android che gli sviluppatori Android devono sapere? Mi interessano anche le risposte che spiegano come il difetto si manifesta nel codice, o cosa cercare nel codice per riconoscere il difetto. (Esempio di frammenti di codice sarebbe particolarmente meraviglioso.)

    
posta D.W. 10.07.2011 - 03:38
fonte

5 risposte

8

Protezione insufficiente della riservatezza e integrità dei dati in transito. Gli smartphone saranno spesso collegati a reti inaffidabili (ad esempio reti GSM o wireless gestite da parti sconosciute): quando si trasmettono dati ao da un host di rete, si presuma che possa essere manomesso o letto.

    
risposta data 10.07.2011 - 11:18
fonte
6

A parte le cose che sono già state menzionate e si applicano praticamente a qualsiasi applicazione software, ricorda che l'isolamento dell'app è lontano da ciò che le persone si aspettano che sia: il modello di attendibilità Android esistente, che puoi installare app ed eseguirle in modo tale che non saranno in grado di accedere ai dati degli altri, è forse la più grande minaccia alla sicurezza di Android. Questo modello è stato ripetutamente rotto e dimostrato di essere fondamentalmente difettoso. Anche nel sistema operativo più sicuro, che non è Android (Linux), le app dannose possono trasferire dati utilizzando canali nascosti o dedurre informazioni su altre app utilizzando canali secondari. Gli attacchi di temporizzazione della cache della CPU sono i più popolari qui, ma una piattaforma complessa come Android offre molti più canali per i flussi di informazioni nascoste.

Quindi, non solo la rete e la scheda SD non sono sicure, ma hai anche poca assicurazione che i dati nella cartella dell'app privata siano sicuri. Se si scrive un'applicazione sensibile alla sicurezza, la crittografia di tutta la memoria locale è il minimo che si possa fare (e, sfortunatamente, anche il più ...).

Se scrivi più app che dovrebbero comunicare tra loro, guarda il sistema di autorizzazioni disponibile a tale scopo e la semantica di sharedUserId : link

    
risposta data 12.07.2011 - 00:49
fonte
5

Protezione insufficiente dei dati dal furto fisico del dispositivo. Potresti avere dati a cui deve accedere solo il proprietario del telefono: non presumere che l'operatore del touchscreen sia effettivamente il proprietario del telefono.

    
risposta data 10.07.2011 - 11:16
fonte
4

Questa presentazione descrive una serie di potenziali insidie nella sicurezza nello sviluppo di app Android.

    
risposta data 15.12.2011 - 15:11
fonte
2

Gestione inappropriata di dati dannosi. La tua app Android prenderà i dati da tutti i tipi di fonti non attendibili: host di rete, la memoria SD condivisa, il collegamento USB per esempio. Questi dati devono essere trattati con cautela.

    
risposta data 11.07.2011 - 09:50
fonte

Leggi altre domande sui tag

Che cosa determina esattamente quale versione di SSL / TLS viene utilizzata quando si accede a un sito? AES-192 fornisce una crittografia migliore di AES-256?