Mobile App Security vs. PC tradizionale Sicurezza desktop in The New Era [closed]

2

Utilizzo un PC Windows da molti anni. Poiché Android è arrivato sul mercato, sono stato molto cauto nell'installare app che richiedono autorizzazioni non correlate. Ovviamente, queste autorizzazioni extra potrebbero essere utilizzate per scopi maligni, oppure potrebbero essere utilizzate solo per la risoluzione dei problemi ... sempre difficili da dire. Tuttavia, non mi sono mai preoccupato di ciò su Windows, che non ha un app store che elenca i permessi. Ovviamente, io sono attento a scansione di tutti i tipi di file con una qualità anti-virus prima di eseguire, ma non sono sicuro che le minacce al PC (in termini di fidarsi lo sviluppatore del software) sono di diverso rispetto alle minacce alla privacy di sviluppatori mobile. La maggior parte delle volte considero software commerciale che acquisto o eseguo gratuitamente come sviluppato da un'azienda (sebbene ci siano anche molti sviluppatori solitari). La creazione dell'app store mi ha fornito un modo per vedere molti nomi strani nella sezione sviluppatori e non sono sicuro di chi fidarsi. Sì, un'app può avere migliaia di buone recensioni, ma chi ha invertito la progettazione di queste app, ha rivisto il loro codice sorgente o le ha monitorate mentre si siedono e corrono per vedere cosa fanno quando si va a dormire? Anche in questo caso, con il PC, non ho mai preoccupato "passare attraverso i miei contatti" (non c'era nessuna), "l'accesso a mia macchina fotografica" (non c'era uno), "l'accesso ai record telefonata" (non ce n'erano), etc. In molti casi questa parte è leggermente diversa da PC a dispositivo mobile. (Sì, so che molti PC hanno webcam, contatti, ecc.) Tuttavia, uno sviluppatore malintenzionato potrebbe avere il regno libero del mio PC se il suo codice ha superato l'AV.

Non sono sicuro che sia l'elenco delle autorizzazioni fornito da App Store a essere così sconcertante e che io non sono semplicemente abituato ...

{END WALL OF TEXT}

... Ma la mia domanda è alla luce di tutto ciò che è stato affermato in precedenza (sconcertante e senza respiro autorizzazioni delle app mobili), ha qualcosa davvero cambiato in termini di realtà della privacy e permessi come le persone si spostano da PC al cellulare? Dovremmo semplicemente fare clic su "installa l'app" perché è quello che stavamo facendo comunque sul PC?

{BEGIN WALL OF TEXT}

Punti bonus: so che ci sono ricercatori là fuori che cercano app dannose, ma ci sono selezioni casuali e le informazioni sono disseminate in più laboratori di ricerca. Esiste un database o una fonte per recensioni di sicurezza su app specifiche (diverse dalle autorizzazioni elencate in App Store)?

* Non inserire commenti come "Chiudi piagnucolando" o "Come puoi aspettarti di avere così tante app a tua disposizione senza avere così tanti sviluppatori con nomi strani?" o "Vuoi la tua torta e anche a mangiarla?" ... Sto cercando di capire come vivere in questo nuovo mondo.

    
posta user58446 07.12.2014 - 09:23
fonte

4 risposte

1

Dubito che ci sia una risposta obiettiva e dimostrabile. Tuttavia, alla tua domanda enfatizzata

...has anything really changed in terms of the reality of privacy and permissions as people move from PC to Mobile?

la risposta che propongo è:

Sì! tl; dr - Il processo di approvazione del negozio di app deve verificare che un'app faccia ciò che dice e nient'altro. Le forze di mercato significano che i dati sono ricercati a tariffe allarmanti e intrusive, mentre il costo opportunità di non accettare richieste di permessi / EULA è la completa perdita di accesso alle funzionalità di quell'app (dato che la maggior parte delle app in competizione richiedono lo stesso accesso ad ampio raggio).

Non stai chiedendo informazioni sul software dannoso di per sé, né stai chiedendo un contesto generale di problemi di sicurezza. Stai chiedendo informazioni sul livello generale di fiducia e preoccupazioni sulla privacy da "app" ampiamente disponibili e stai mettendo in relazione quelle con precedenti versioni di software installato su PC desktop.

Il paradigma dell'informatica e del business è cambiato dai tempi dei PC che erano spesso disconnessi da Internet. Inoltre, l'avvento di "big data", machine learning, data mining, ecc. Ha cambiato l'interesse degli sviluppatori e degli imprenditori nella raccolta dei dati.

C'è un valore significativo nella raccolta di dati ad ampio raggio da qualsiasi dispositivo per il consumo personale (ad esempio miglioramento dei processi aziendali interni) e anche per la vendita esterna. La giustificazione per le app "gratuite" è ancora simile alla vecchia installazione gratuita che modifica il tuo motore di ricerca e installa i componenti aggiuntivi nel tuo browser. Il valore di tale modifica era piccolo e probabilmente poneva però pochi problemi di privacy per l'utente. Di certo era un mondo lontano dalla doppia videocamera, dal microfono e dall'accesso all'elenco dei contatti.

Ci sono essenzialmente due opzioni per i dispositivi mobili: Google e Apple, e ciascuna ha un app store che è (principalmente o totalmente, rispettivamente) l'opzione esclusiva per il software. Espongono numerose API pubblicitarie e il clima generale, come hai notato, è verso la richiesta di permessi gratuiti. Analogamente all'EULA inevitabile e non negoziabile non è rimasta altra scelta che accettare o rinunciare completamente al servizio. Non ci sono paradigmi alternativi praticabili e se lo sono, sono marginalizzati in parte perché le piattaforme di social media e l'integrazione con queste piattaforme è un importante motore di entrate e rilevanza. Basta guardare all'impero di Playboy che ha ceduto alle regole dei contenuti dei social media e in sostanza ha abbandonato la loro più significativa differenziazione di mercato.

Suppongo, forse, dal momento che le autorizzazioni sono chiaramente enunciate e dovrebbero essere applicate tramite i processi di approvazione di App Store che si potrebbe sostenere che siamo "più sicuri" delle operazioni relativamente sconosciute delle applicazioni, che, come dichiarato nei commenti, avevano essenzialmente free-reign una volta installato.

    
risposta data 04.11.2015 - 01:05
fonte
1

No .

Non dovresti fare clic su installa l'app. Il processo che seguo è abbastanza semplice:

  1. Che cosa sta facendo l'app?
  2. Quali sono le autorizzazioni?
  3. Questa autorizzazione è davvero necessaria?

Ora diamo un'occhiata a un semplice esempio:

  • Che cosa sta facendo l'app? Es: semplice editor di testo (leggi / scrivi materiale da / su file)
  • Quali sono le autorizzazioni?

Caso 1 :
Autorizzazioni: lettura / scrittura di file. Accedi al microfono. Sono tentato di accettare questo. Anche se questo richiede il microfono, potrebbe usarlo per il text / to speech. Se lo fa dovrebbe menzionarlo nella descrizione. Anche se lo facesse, potrebbe comunque spiarti. Tuttavia, l'app potrebbe essere innocente.

Caso 2 : Autorizzazioni: lettura / scrittura di file. Accedi al microfono. Accedi ai contatti. Accedi alla connessione di rete. Questo mi farebbe riflettere. Come detto prima, l'app dovrebbe essere un semplice editor di testo. Non è necessario un semplice editor di testo per utilizzare il contatto e connettersi a Internet.

Bonus :
Se vuoi diventare davvero hardcore, ciò che dovresti fare è decodificare l'applicazione. Guarda come queste autorizzazioni vengono utilizzate all'interno dell'app. Dov'è la mia connessione dell'app a Internet. Cosa sta succedendo con quella connessione. dove viene chiamato il microfono e dove va il suono registrato.

    
risposta data 08.12.2014 - 10:39
fonte
0

No, non devi mai fare clic su "installa l'app" se non conosci / non credi allo sviluppatore né sul cellulare né sul PC.

Se avevi installato tutto sul PC, questo è un tuo problema, ma non dovresti farlo perché qualsiasi cosa tu abbia installato ha pieno accesso ai tuoi dati (peggio, molti installatori richiedono privilegi amministrativi che significa che ottengono pieno accesso al tuo sistema, e può installare qualsiasi brutto rootkit che desiderano).

Mentre gli sviluppatori famosi non causano troppi danni (altrimenti rischiano problemi legali) possono ancora fare cose negative legalmente affermando ciò che fanno in una politica sulla privacy che nessuno legge, e in realtà la maggior parte degli adware / barre degli strumenti sono legali perché hanno tali politiche sulla privacy che accettate quando installate.

La direttiva sull'accesso completo ai dati si applica anche ai dispositivi mobili, l'unica differenza è che l'app deve indicare chiaramente a cosa accederà nel suo manifest e questo è ciò che viene visualizzato quando richiesto se si desidera installarlo. L'accesso da parte dell'amministratore è un po 'complicato da eseguire poiché non è disponibile per impostazione predefinita sulle piattaforme mobili a meno che non si esegua il root del telefono Android o il jailbreak del dispositivo iOS, nel qual caso le app possono anche richiedere l'accesso superutente (root); su iOS è già disponibile di default per tutti i software installati da Cydia (l'equivalente dell'app store per app / tweaks di jailbreak).

Inoltre, sul cellulare hai un'app magica chiamata "browser" che può accedere a molti servizi online senza mettere a rischio i tuoi dati, ti suggerisco di utilizzarli il più possibile invece di installare app (la loro app sul telefono deve essere un vero e proprio privilegio per gli sviluppatori, non un diritto).

    
risposta data 07.12.2014 - 19:17
fonte
0

Non dovresti installare nulla che tu (TUO STESSO) non hai provato ad installare. Nessuna eccezione, a meno che non lo si cerchi e lo trovi necessario o utile e provenga da una fonte affidabile.

Ad esempio, è necessario installare winPCap per installare Wireshark. Quando ti viene chiesto di installare winPCap, digita winPCap in un motore di ricerca per determinare se Wireshark dipende da winPCap per la funzionalità.

In alcune applicazioni il software aggiuntivo consigliato non è una dipendenza e puoi saltare l'installazione.

Per la cronologia, questi passaggi devono essere seguiti su tutti i dispositivi in cui è possibile installare software o app.

    
risposta data 06.08.2015 - 00:15
fonte

Leggi altre domande sui tag