Re: Apple wkracza w 21 w... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.misc.telefonia.gsm › Apple wkracza w 21 w... › Re: Apple wkracza w 21 w...

Data: 2019-06-08 00:49:19
Temat: Re: Apple wkracza w 21 w...
Od: Marcin Debowski <a...@I...zoho.com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
On 2019-06-05, Dominik Ałaszewski <D...@g...pl.invalid> wrote:
> Dnia 05.06.2019 Marcin Debowski <a...@I...zoho.com> napisał/a:
>
>> Tak, ale to wciąż jest problem wykraczający trochę dalej niż ślepe
>> potwierdzanie uprawnień. Z grubsza sprowadza się to do tego, że dajemy
>> dostęp do systemu czemuś co może np. okazać się backdoorem i
>> potencjalnie wykorzystać za jakiś czas nową podatność. Od środoka jakby
>> nieco łatwiej.
>
> Każda aplikacja może się okazać backdoorem, więc trzeba by dogłębnie
> analizować kod. Trochę słabo to widzę przy tej ilości.
> Analiza zachowania aplikacji na emulatorze nie zawsze wystarczy,
> były przypadki że złośliwa część kodu zostawała nie uruchamiana
> do momentu wykrycia sygnałów z czujników ruchu.
>
> Jeśli Apple to robi- szacun, czapki z głów.

Coś najwyraźniej robią, bo problem u nich aplikacjami praktycznie nie
występuje, a nie mają ich aż tak dużo mniej w porównaniu z Playstore.
Myśle, że to może być też (dodatkowo) mechanizm "prawny", w sensie, że
jak się coś w rpzeszłości przydarzało to nie odpuszczali deweloperom.

> Natomiast ślepe potwierdzanie uprawnień JEST problemem-
> jak ktoś np. nie widzi problemu w nadaniu aplikacji
> uprawnień administratora urządzenia. A z kolei sens aplikacji
> mających takie uprawnienia jak najbardziej jest- chociażby
> Airwatch.

To jest problem niezalezny od platformy, no chyba że sugerujesz, że
uzytkownicy Apple są statystycznie jacyś bardziej ogarnięci :) Ale masz
rację w tym sensie, że dziury, zerodeje itp to obecnie w sumie rzadkość
i jakaś firemkna się tym nie posłuży. Lepiej sprzedać. Większość
współczesnych ataków jest oparta na socjotechnice.

> Zaś Google, jak już wklejałem linka, oficjalnie dość mocno
> zaostrzyło politykę- aplikacje nie mogą prosić o uprawnienia,
> które nie są niezbędne do relalizacji danej funkcjonalności,
> a np. dostęp do sms może mieć tylko aplikacja ustawialna
> jako aplikacja obsługująca esemesy (np. jakiś mesendżer).
>
> Oczywiście egzekwowanie polityki to drugie- ale kurs jest
> IMO właściwy.

MZ jak najbardziej, ale no ten tego, poczekajmy.

--
Marcin