La limitazione dell'accesso al contenuto dei file è un modo per ottenere informazioni sensibili ma quotidiane necessarie da software di terze parti?

Se capisco correttamente questa domanda, tu stai proponendo un sistema in cui le applicazioni non arrivano mai a leggere un file, ma solo inviare comandi a un'interfaccia che legge e modifica i dati. In questo modo, l'applicazione non saprà nulla dei dati su cui opera. Non funzionerà come un modo per proteggere i tuoi dati. Lasciami spiegare perché.

Quindi diciamo che ho alcune foto che voglio ritagliare, ma non voglio che la mia applicazione di fotoritocco le veda. L'applicazione di fotoritocco dovrebbe quindi semplicemente inviare il comando di ritaglio all'interfaccia JPG e l'interfaccia quindi esegue il ritaglio.

E se voglio vedere l'immagine sullo schermo mentre la ritaglia, immagino che l'interfaccia dovrà occuparsi anche di questo. E se la finestra dell'app foto dovesse ridimensionarsi per adattarsi all'immagine, l'interfaccia dovrebbe farlo anche perché l'app non conoscerebbe la dimensione dell'immagine. Ma sappi che l'app per foto non conosce la dimensione della propria finestra ... quindi come può controllare quali pulsanti sono visualizzati nella barra degli strumenti? Immagino che l'interfaccia dovrà occuparsi anche di questo.

Vedi cosa sta succedendo qui? L'interfaccia sta prendendo il sopravvento su tutta la complessità gestita dall'app. Semplicemente non c'è un'interfaccia pulita tra lettura e scrittura, quindi l'interfaccia inghiottirà sempre di più l'app fino a quando l'app non sarà solo una shell vuota attorno all'interfaccia.

E se l'interfaccia è complessa come una volta l'app, si deve porre la domanda: da dove vengono le interfacce? Le persone scaricheranno solo le interfacce trojan invece delle app di Trojan.

Questo tipo di nascondimento di informazioni presenta alcuni punti deboli chiave.

Per prima cosa, per essere utili, i dati nascosti devono produrre un qualche tipo di output visibile. Questo output visibile può essere analizzato per un determinato input ed è generalmente possibile lavorare all'indietro per determinare quale almeno una parte dell'originale deve avere l'aspetto. Alla fine, puoi accumulare abbastanza per apportare modifiche dannose senza dover vedere direttamente i dati che stai modificando.

In secondo luogo, non tutti gli attacchi riguardano l'acquisizione dei dati. Questo sistema non fa nulla per prevenire la corruzione o la distruzione dei dati. Non importa se posso vedere i tuoi dati finanziari se posso dire "imposta tutti i saldi a 0". Se qualcuno può cestinare il tuo sistema, non aiuta molto che non hanno accesso a VEDERE i tuoi dati.

Infine, un tale sistema sarebbe ancora potenzialmente vulnerabile agli exploit che potrebbero essere in grado di compromettere la funzionalità del sistema operativo. Il sistema operativo deve ancora essere in grado di scrivere su di esso e più complesse diventano le istruzioni che operano sui dati, maggiore è la possibilità che un bug del software consenta di rompere il sistema in misura maggiore o minore.

Ciò non significa che tali sistemi siano inutili, ma hanno casi d'uso molto specifici e sono utilizzati come parte di una difesa in profondità per prevenire l'uso improprio. Esiste un intero tipo di crittografia chiamata crittografia omomorfica che consente di eseguire operazioni matematiche su dati crittografati senza decrittografarli. Tali sistemi sono piuttosto complessi, ma sono utili in situazioni in cui le operazioni devono essere eseguite da sistemi che non dovrebbero avere consapevolezza dei dati su cui stanno effettivamente operando.

La chiave, come qualsiasi cosa in sicurezza, è capire le minacce che è necessario mitigare e le capacità e i punti deboli degli strumenti che si stanno utilizzando per affrontare tali minacce. Le operazioni di dati opachi sono uno strumento, ma molto specializzato e limitato che si adatta a una nicchia molto specifica e generalmente di piccole dimensioni.