Questão:
Proteção contra intenções maliciosas
Volomike
2010-12-22 11:43:46 UTC
view on stackexchange narkive permalink

Existe um aplicativo, ou o Google produzirá um sistema, onde eu possa proteger meu dispositivo Android?

Imagine um aplicativo de mesa de som que é gratuito, mas pede suas informações de contato. O usuário médio pode ser ingênuo e apenas clicar em OK nas permissões. Cerca de 24 horas depois, eles começam a receber e-mails de spam, ligações telefônicas de telemarketing para casa ou celular, ou até mesmo mala direta para seu endereço. Agora imagine esse mesmo aplicativo, mas os criminosos o escreveram e agora têm acesso às suas câmeras ou microfone. Claro, você ativou as permissões porque não conhecia melhor, mas agora os criminosos podem ouvir remotamente a qualquer momento ou até mesmo assistir você.

Quero permitir que os apps façam certas tarefas, incluindo a câmera ou uso de microfone, ou até mesmo acesso de contato, mas quero saber exatamente o que está acontecendo para esse acesso. Quero saber se estou vendendo ou fazendo marketing com minhas informações de identidade. Quero saber se ele vai me espionar remotamente.

EDITAR : Bruce Schneier e outros comentaram sobre esse problema recentemente aqui:

http://www.schneier.com/blog/archives/2010/08/eavesdropping_s.html

Regras # 1 de acesso à Internet: Nada é privado e nada é seguro.
@Read - podemos fazer melhor do que isso, não podemos? Quero dizer, você publica seu endereço físico em seu perfil StackExchange? Você provavelmente não sabe. Ou que tal seu número de telefone? Provavelmente não. É desse tipo de coisa que estou falando. Precisamos ter níveis de controle e saber com muito mais clareza, com esses aplicativos, do que estamos renunciando.
Imagine até um aplicativo de câmera que faz o que diz que faz no que diz respeito às fotos, como tirar fotos retrô com um filtro. Mas então alguém faz uma versão quase parecida com ela, mas a transforma em algo malicioso, que então publica essas fotos em um site, expondo nudez e assim por diante. Vê como isso pode ficar sério?
Trzy respostas:
ale
2010-12-22 21:18:17 UTC
view on stackexchange narkive permalink

O Google faz auditorias ocasionais. Aparentemente, havia alguns aplicativos de papel de parede recentemente que estavam fazendo coisas nefastas e foram retirados do Market e de todos os telefones em que foram instalados.

É fundamental que os usuários prestem atenção às permissões que estão sendo solicitadas (por que um papel de parede precisa saber "Estado do telefone" ou meus contatos?) e simplesmente não instalar nada que pareça instável. Preste atenção nas avaliações e nos comentários e, se algo parecer bom demais para ser verdade, provavelmente é.

Todo mundo quer tudo de graça. O preço disso é que seus dados demográficos de marketing estão sendo vendidos para qualquer pessoa disposta a pagar por eles. Não invejo os desenvolvedores a capacidade de lucrar.

Aplicativos de papel de parede que analisam meus contatos. Isso é assustador. Imagine um aplicativo ativando a câmera ou o microfone de alguém sem que ninguém saiba - ainda mais assustador.
NES
2010-12-22 21:54:21 UTC
view on stackexchange narkive permalink

As auditorias de segurança do mercado só trazem vantagem quando você retira seus aplicativos do mercado. Também tenha cuidado com aplicativos de fontes não confiáveis, por exemplo, o aplicativo pode explorar um bug de segurança no sistema operacional e assim obter direitos de root. Então, ele obteria todos os direitos sem pedir permissão. Provavelmente, tal aplicativo no mercado seria encontrado após um curto período de tempo. Mas se você baixar um apk na Internet de uma fonte não confiável, deve ter cuidado e pensar se você realmente precisa dele e pode confiar na fonte.

Outro grande projeto é o Taintdroid Provavelmente o que você está procurando. Mas, no momento, acho que você só pode usá-lo quando tiver um Nexus Devloper Phone.

Obrigado por apontar Taintdroid. Parece que o que precisamos é de um dispositivo Taintdroid que fique lá fora, encontrando problemas e expondo-os na web para uma lista negra em que as pessoas possam votar a favor ou contra ou adicionar comentários.
Não é uma má ideia. Mas acho que o maior problema no momento para o Android é a fragmentação de diferentes versões do sistema operacional nos dispositivos e os problemas resultantes. Principalmente porque você não pode consertar seus bugs de sistema operacional porque o fabricante não fornece uma atualização ou se ele faz apenas alguns meses depois.
Sparx
2010-12-23 00:03:50 UTC
view on stackexchange narkive permalink

Acho que uma das melhores maneiras de "saber mais" sobre um aplicativo seria conferir suas análises online - há muitos blogs Android, além de análises escritas por usuários nos comentários do mercado. Você também pode verificá-los em sites como http://appbrain.com

É fácil para os desenvolvedores criar avaliações falsas e fazer com que as avaliações negativas desapareçam. Da mesma forma, se ninguém souber de um problema de segurança porque ele ainda não foi descoberto, eles não o mencionarão em uma revisão. E por último, você só obtém alguns caracteres em uma revisão e isso limita o que pode ser dito.
Você não pode confiar nas avaliações para informar sobre as falhas que uma pequena minoria de revisores conhece. Este desenho XKCD mostra o ponto muito bem ... na realidade, que a avaliação de 1 estrela seria invisível sob centenas de outras avaliações http://xkcd.com/937/


Estas perguntas e respostas foram traduzidas automaticamente do idioma inglês.O conteúdo original está disponível em stackexchange, que agradecemos pela licença cc by-sa 2.0 sob a qual é distribuído.
Loading...