Re: Apple wkracza w 21 w... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.misc.telefonia.gsm › Apple wkracza w 21 w... › Re: Apple wkracza w 21 w...

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!takemy.news.tel
efonica.de!telefonica.de!weretis.net!feeder7.news.weretis.net!newsreader4.netco
logne.de!news.netcologne.de!peer03.ams1!peer.ams1.xlned.com!news.xlned.com!feed
er.cambriumusenet.nl!feed.tweaknews.nl!posting.tweaknews.nl!fx04.ams1.POSTED!no
t-for-mail
Newsgroups: pl.misc.telefonia.gsm
From: Marcin Debowski <a...@I...zoho.com>
Subject: Re: Apple wkracza w 21 w...
References: <a...@n...neostrada.pl>
<qd1p0j$rbq$1@dont-email.me> <5cf4e1e9$0$500$65785112@news.neostrada.pl>
<tp7JE.327858$%G7.205523@fx09.ams1>
<5cf59758$0$541$65785112@news.neostrada.pl>
<dXlJE.303104$Gn4.146794@fx20.ams1> <qd4uop$ncp$1@news.vectranet.pl>
<RFnJE.190873$_Q1.146926@fx15.ams1> <qd5474$p5c$1@news.vectranet.pl>
<2HpJE.189236$V37.51718@fx21.ams1> <qd5ftf$s39$1@news.vectranet.pl>
<3isJE.411760$_R1.158390@fx05.ams1> <qd5l26$s39$3@news.vectranet.pl>
<ZuMJE.310986$Dw7.308766@fx12.ams1> <qd89d4$naq$1@news.vectranet.pl>
User-Agent: slrn/1.0.3 (Linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Lines: 47
Message-ID: <PRBKE.256935$Ov5.54292@fx04.ams1>
X-Complaints-To: a...@t...nl
NNTP-Posting-Date: Fri, 07 Jun 2019 22:49:19 UTC
Organization: Tweaknews
Date: Fri, 07 Jun 2019 22:49:19 GMT
X-Received-Bytes: 3453
X-Received-Body-CRC: 2167883354
Xref: news-archive.icm.edu.pl pl.misc.telefonia.gsm:1090353
[ ukryj nagłówki ]
On 2019-06-05, Dominik Ałaszewski <D...@g...pl.invalid> wrote:
> Dnia 05.06.2019 Marcin Debowski <a...@I...zoho.com> napisał/a:
>
>> Tak, ale to wciąż jest problem wykraczający trochę dalej niż ślepe
>> potwierdzanie uprawnień. Z grubsza sprowadza się to do tego, że dajemy
>> dostęp do systemu czemuś co może np. okazać się backdoorem i
>> potencjalnie wykorzystać za jakiś czas nową podatność. Od środoka jakby
>> nieco łatwiej.
>
> Każda aplikacja może się okazać backdoorem, więc trzeba by dogłębnie
> analizować kod. Trochę słabo to widzę przy tej ilości.
> Analiza zachowania aplikacji na emulatorze nie zawsze wystarczy,
> były przypadki że złośliwa część kodu zostawała nie uruchamiana
> do momentu wykrycia sygnałów z czujników ruchu.
>
> Jeśli Apple to robi- szacun, czapki z głów.

Coś najwyraźniej robią, bo problem u nich aplikacjami praktycznie nie
występuje, a nie mają ich aż tak dużo mniej w porównaniu z Playstore.
Myśle, że to może być też (dodatkowo) mechanizm "prawny", w sensie, że
jak się coś w rpzeszłości przydarzało to nie odpuszczali deweloperom.

> Natomiast ślepe potwierdzanie uprawnień JEST problemem-
> jak ktoś np. nie widzi problemu w nadaniu aplikacji
> uprawnień administratora urządzenia. A z kolei sens aplikacji
> mających takie uprawnienia jak najbardziej jest- chociażby
> Airwatch.

To jest problem niezalezny od platformy, no chyba że sugerujesz, że
uzytkownicy Apple są statystycznie jacyś bardziej ogarnięci :) Ale masz
rację w tym sensie, że dziury, zerodeje itp to obecnie w sumie rzadkość
i jakaś firemkna się tym nie posłuży. Lepiej sprzedać. Większość
współczesnych ataków jest oparta na socjotechnice.

> Zaś Google, jak już wklejałem linka, oficjalnie dość mocno
> zaostrzyło politykę- aplikacje nie mogą prosić o uprawnienia,
> które nie są niezbędne do relalizacji danej funkcjonalności,
> a np. dostęp do sms może mieć tylko aplikacja ustawialna
> jako aplikacja obsługująca esemesy (np. jakiś mesendżer).
>
> Oczywiście egzekwowanie polityki to drugie- ale kurs jest
> IMO właściwy.

MZ jak najbardziej, ale no ten tego, poczekajmy.

--
Marcin