Rivelazione di librerie utilizzate nell'app

1

Io e un collega stavamo discutendo sul fatto che a causa delle licenze abbiamo bisogno di divulgare un paio di librerie che abbiamo utilizzato nello sviluppo di un'app per Android che realizziamo. Ho detto che, da un punto di vista della sicurezza, sarebbe probabilmente meglio rivelare il minimo indispensabile (quindi non divulgare le librerie che non lo richiedevano specificamente). Ha detto che era pigro e non voleva rimuovere quelli che non erano richiesti.

La mia filosofia è: se qualcuno dovesse trovare una vulnerabilità che potrebbe interessare una libreria specifica che potrebbe costituire una minaccia per la nostra app

Quanto di un rischio potenziale potrebbe rivelare le librerie?

    
posta Black Magic 22.06.2016 - 17:21
fonte

2 risposte

3

If someone were to find a vulnerability that would affect a specific library that could maybe pose a threat to our app

La difesa contro questo non è usare la libreria. Utilizzare la libreria e non documentarla non cambia il fatto che l'applicazione è vulnerabile.

Non documentare che tu usi la libreria rende marginalmente più difficile per le persone scoprire che la tua applicazione la usa, ma solo marginalmente. Potrebbe non essere visualizzato in alcune scansioni automatiche (ad esempio una ricerca su Google), ma verrà visualizzato in altre scansioni automatiche (ad esempio, cercando determinati simboli) e verrà visualizzato una volta che qualcuno esegue dei test (anche se la tua applicazione non utilizzava la libreria , la gente potrebbe testarlo per bug simili). E una volta che una persona l'ha trovato, può rendere pubbliche le informazioni.

D'altra parte, se non rendi conto che usi la libreria, i tuoi utenti non avranno un modo semplice per scoprire che se una vulnerabilità interessa la libreria, c'è un serio rischio che ciò influisca sulla tua app. Non divulgando, aumenti il rischio per i tuoi utenti.

Quindi l'effetto di sicurezza netto di rivelare quali librerie la tua applicazione utilizza è positiva.

    
risposta data 23.06.2016 - 01:27
fonte
1

Potrebbe esserci un rischio potenziale se si rivelano vulnerabilità di librerie con vulnerabilità note o successive. Questo non è diverso da un sito Web che utilizza WordPress e un popolare plug-in di immagini che viene incluso per consentire i caricamenti della shell o un sistema operativo che dispone di un programma che consente a qualcuno l'accesso remoto tramite un exploit. Se l'attaccante sa che i vettori esistono in questi prodotti, li possono usare.

Tuttavia, dedichiamoci un minuto per parlare delle licenze. La maggior parte delle licenze richiede di includere la licenza o la verbosità richiesta quando si distribuisce il software in cui è utilizzato. Alcuni come GPL richiedono persino l'apertura del codice. Il Google Play Store e anche il negozio iOS, per questo, prendono molto seriamente queste licenze. Se dici di usare una libreria di terze parti e stai violando la loro licenza. L'autore / i di quella libreria può inserire una richiesta di rimozione per la tua app e potrebbe essere rimossa e persino inserita nella blacklist dal marketplace. Non includendo ulteriori azioni legali contro di te.

Quindi è molto importante capire le licenze utilizzate dalle tue librerie. E se non sei d'accordo con loro, usa un altro o crea il tuo. Se la licenza non richiede menzione o inclusione della licenza, non è necessario rivelarne l'utilizzo. Esistono anche licenze come la WTFPL che non ti obbligano ad accreditare il suo utilizzo. Ma per quelli che non hai altra scelta che rivelare il loro uso. Questo rende l'aspetto della sicurezza come una ragione per non rivelare un argomento moot.

    
risposta data 22.06.2016 - 21:22
fonte

Leggi altre domande sui tag