-
Data: 2019-06-08 00:49:19
Temat: Re: Apple wkracza w 21 w...
Od: Marcin Debowski <a...@I...zoho.com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 2019-06-05, Dominik Ałaszewski <D...@g...pl.invalid> wrote:
> Dnia 05.06.2019 Marcin Debowski <a...@I...zoho.com> napisał/a:
>
>> Tak, ale to wciąż jest problem wykraczający trochę dalej niż ślepe
>> potwierdzanie uprawnień. Z grubsza sprowadza się to do tego, że dajemy
>> dostęp do systemu czemuś co może np. okazać się backdoorem i
>> potencjalnie wykorzystać za jakiś czas nową podatność. Od środoka jakby
>> nieco łatwiej.
>
> Każda aplikacja może się okazać backdoorem, więc trzeba by dogłębnie
> analizować kod. Trochę słabo to widzę przy tej ilości.
> Analiza zachowania aplikacji na emulatorze nie zawsze wystarczy,
> były przypadki że złośliwa część kodu zostawała nie uruchamiana
> do momentu wykrycia sygnałów z czujników ruchu.
>
> Jeśli Apple to robi- szacun, czapki z głów.
Coś najwyraźniej robią, bo problem u nich aplikacjami praktycznie nie
występuje, a nie mają ich aż tak dużo mniej w porównaniu z Playstore.
Myśle, że to może być też (dodatkowo) mechanizm "prawny", w sensie, że
jak się coś w rpzeszłości przydarzało to nie odpuszczali deweloperom.
> Natomiast ślepe potwierdzanie uprawnień JEST problemem-
> jak ktoś np. nie widzi problemu w nadaniu aplikacji
> uprawnień administratora urządzenia. A z kolei sens aplikacji
> mających takie uprawnienia jak najbardziej jest- chociażby
> Airwatch.
To jest problem niezalezny od platformy, no chyba że sugerujesz, że
uzytkownicy Apple są statystycznie jacyś bardziej ogarnięci :) Ale masz
rację w tym sensie, że dziury, zerodeje itp to obecnie w sumie rzadkość
i jakaś firemkna się tym nie posłuży. Lepiej sprzedać. Większość
współczesnych ataków jest oparta na socjotechnice.
> Zaś Google, jak już wklejałem linka, oficjalnie dość mocno
> zaostrzyło politykę- aplikacje nie mogą prosić o uprawnienia,
> które nie są niezbędne do relalizacji danej funkcjonalności,
> a np. dostęp do sms może mieć tylko aplikacja ustawialna
> jako aplikacja obsługująca esemesy (np. jakiś mesendżer).
>
> Oczywiście egzekwowanie polityki to drugie- ale kurs jest
> IMO właściwy.
MZ jak najbardziej, ale no ten tego, poczekajmy.
--
Marcin
Następne wpisy z tego wątku
- 08.06.19 00:51 Marcin Debowski
- 08.06.19 01:21 Marcin Debowski
- 08.06.19 01:44 Marcin Debowski
- 08.06.19 01:47 Marcin Debowski
- 08.06.19 02:04 Marcin Debowski
- 08.06.19 02:36 Marcin Debowski
- 08.06.19 02:38 Marcin Debowski
- 08.06.19 05:10 Marcin Debowski
- 08.06.19 05:13 Eneuel Leszek Ciszewski
- 08.06.19 05:15 Eneuel Leszek Ciszewski
- 08.06.19 05:25 Marcin Debowski
- 08.06.19 07:54 Liwiusz
- 09.06.19 00:24 Eneuel Leszek Ciszewski
- 09.06.19 02:40 Marcin Debowski
- 09.06.19 16:36 Eneuel Leszek Ciszewski
Najnowsze wątki z tej grupy
- Orange Free na kartę - coś się popsuło
- Radio internetowe do starego Androida
- Nazbyt "muzyczne" słuchawki
- 5G Apokalipsa - nie tylko dla tutejszych przeżuwaczy podpiczników
- Power BANK z ładowaniem przelotowym robi PRZERWY
- Aero2
- odbiornik GPS z kablem USB
- iOS, działające wifi z autolockiem
- Z instrukcji do kitu
- Re: W telefonie brak szufladki na drugą kartę SIM
- W telefonie brak szufladki na drugą kartę SIM
- DNS restrictions are on
- Słabszy sygnał GSM od kilku tugodni
- Re: Tani dodatkowy sim do smartwacha
- Praktyczny test GPS...
Najnowsze wątki
- 2025-02-25 Warszawa => Analityk Biznesowo-Systemowy <=
- 2025-02-25 Warszawa => SQL Developer <=
- 2025-02-25 Zbigniew Ziobro śmie sugerować "niedostatki niezawisłości" sędzi (wątpliwości co do bezstronności)
- 2025-02-25 Kraków => DevOps Engineer (Junior/Regular) <=
- 2025-02-25 Kraków => Front-end Developer <=
- 2025-02-25 Szpital
- 2025-02-24 Gniazdo + wtyk
- 2025-02-24 Dyrektor Toyoty miał rację. Elektryki to ślepa uliczka
- 2025-02-24 Białystok => System Architect (Java background) <=
- 2025-02-24 Białystok => System Architect (background deweloperski w Java) <=
- 2025-02-24 Białystok => Solution Architect (Java background) <=
- 2025-02-24 Warszawa => Data Engineer (Tech Leader) <=
- 2025-02-24 Gliwice => Business Development Manager - Dział Sieci i Bezpieczeńst
- 2025-02-24 Gliwice => Ekspert IT (obszar systemów sieciowych) <=
- 2025-02-24 Gliwice => IT Expert (Network Systems area) <=
ATAL kontynuuje inwestycję Skwer Harmonia
