Video: How to avoid negative thinking | Eye-opening Speech Tagalog | Brain Power 2177 (Nobyembre 2024)
Kapag nagsusulat tungkol sa seguridad ng Android, malamang na nakikita ko nang paulit-ulit ang parehong isyu (SSL, guys! Halika na!). Hiniling namin sa Widdit CEO na si Noam Fine at pinuno ng mobile development na si Nir Orpaz na ipaliwanag kung bakit ginagawa ng mga developer ng Android ang mga pagpipilian sa seguridad na kanilang ginagawa at kung ano ang kailangang gawin nang mas mahusay pagkatapos makitungo sa isang krisis sa seguridad ng kanilang sarili.
Isang Kakulangan ng Kaalaman
Mula sa pakikipag-usap sa mga developer ng Widdit, tila may isang pagkakakonekta sa pagitan ng mga manlalaro sa ekosistema ng Android. "Ang gumagamit ay hindi sapat na pinag-aralan upang tumingin sa kung ano ang kanilang pagdaragdag sa kanilang telepono, " sabi ni Fine. "Hindi ako sigurado na lahat ay talagang nagmamalasakit."
Ang mga nag-develop, sa kabilang banda, ay hindi laging alam ang mga panganib na maaaring kinakatawan ng mga app. "Hindi naiintindihan ng mga nag-develop na ang ipinapadala nila ay personal na impormasyon, " sabi ni Orphaz. Sumang-ayon si Fine, na sinasabi na walang mahirap at mabilis na mga patakaran tungkol sa kung anong impormasyon ang talagang "personal."
Ang isa pang problema ay ang mga advertiser ng third-party na nagbabayad ng mga developer upang maisama ang mga software development kit (SDK) sa kanilang mga app upang mangalap ng impormasyon sa mga gumagamit. Ang mga advertiser ay maaaring mag-ipon ng data mula sa maraming apps sa nakakagulat na detalyadong mga dossier. Halimbawa, maaaring hilingin ng isang app para sa iyong edad, at isa pa para sa iyong pangalan, ngunit ang parehong advertiser ay maaaring magkaroon ng deal sa pareho.
Ito ay nagkakahalaga na tandaan na ang Widdit ay uri ng pagitan ng pag-unlad ng app at advertising. Gumawa sila ng isang platform ng SDK na maaaring maipasok sa mga app upang ang kumikita ng app ay maaaring kumita ng pera mula sa kanilang mga likha.
Sa Fine, ang kakulangan ng edukasyon ng gumagamit ay naglalagay ng onus para sa seguridad nang buo sa mga nag-develop. "Kung nagmamalasakit ka tungkol sa iyong reputasyon, namuhunan ka ng maraming pagsisikap sa pagpapanatili nito. Nangangahulugan ito na ang iyong negosyo ay gawi tulad ng iyong mga kasanayan sa seguridad, " sabi ni Fine. Hinikayat niya ang mga developer na mag-isip nang mabuti bago mag-sign up sa mga advertiser at mai-install ang mga SDK sa kanilang mga app. Hinikayat din niya ang mga developer na suriin ang mga pahintulot na kinakailangan ng mga SDK bago paganahin ang mga ito sa kanilang app. "Kung ikaw bilang isang developer ay hindi humiling para sa mga pahintulot na ito ay handa ka bang bigyan ang mga pahintulot sa SDK?"
Pagbuo ng Ligtas
Parehong Fine at Orphaz sinabi na ang pakikipag-usap tungkol sa seguridad ay isang bagay, ngunit ang pagpapatupad nito sa mga app ay iba pa. Ang pagpapanatili ng isang naka-encrypt na koneksyon sa SSL para sa pagpapadala ng impormasyon ay isang mahusay na kasanayan, ngunit ang isa na maaaring maging isang hamon para sa maliliit na developer. "Kailangan mong makakuha ng isang SSL server, at kung minsan hindi ito isang madaling bagay na makukuha, " paliwanag ni Orpaz. Marami kaming nakikitang mga kumpanya na pinuna para sa shirking o mishandling SSL.
Ang ilang mga kahinaan ay nag-crop mula sa kahit na ang pinaka pangunahing mga pag-andar. Halimbawa, itinuro ni Fine ang pahintulot ng Android na nagbibigay-daan sa mga app na kumonekta sa Internet. "Iyon ang isang bagay na ginagawa ng bawat nag-develop, " sabi ni Fine. "Kapag nakakonekta ka sa network, agad itong kahinaan."
Hinikayat niya ang mga developer na gumamit ng karaniwang kahulugan, at mapa ang mga potensyal na panganib ng mga tampok na kasama nila sa kanilang mga app pati na rin ang pangangalap ng impormasyon sa mga gumagamit. "Kung ginagawa mo ito, kailangan mong ihinto at isipin 'ano ang ginagawa ko upang mabawasan ang mga panganib?'" Sabi ni Fine. "Hindi ako sigurado na ginagawa ng karamihan sa mga developer."
Unang karanasan
Ang Widdit ay may sariling mga problema sa seguridad, na iniulat namin sa isang kamakailang post sa mobile na Threat Monday. Ang kanilang system ay gumagamit ng SDK code sa loob ng app na araw-araw na tumatawag ng isang malayong server upang mag-download ng isang pag-update sa telepono ng Android. Ang mga mananaliksik ng seguridad ay na-flag ito bilang mapanganib dahil ang komunikasyon ay hawakan nang walang koneksyon sa SSL, potensyal na pinahihintulutan ang isang magsasalakay na maagaw ang file at palitan ito ng isang nakakahamak.
Binigyang diin ng Fine at Orphaz na alam nila ang tungkol sa problema bago ito ipinahayag ng mga mananaliksik, at nagplano na upang ayusin ito sa hinaharap. "Ang kahinaan na ito ay napansin bilang pagkakaroon ng isang napakababang posibilidad na mangyari. Kapag naintindihan namin ito ng mas mahusay, nag-ingat kami kung kaagad at naglabas ng isang bagong bersyon." Matagumpay na inilarawan ng pinong isinasagawa ang isang pag-atake gamit ang Widdit bilang "isa sa isang bilyong" pagkakataon.
Ngunit napagkasunduan niya na isang pagbabago na kailangang gawin. "Hindi sapat na sabihin na ito ay talagang mababa ang posibilidad, " sabi ni Fine.
Totoo na ang isang magsasalakay ay kailangang pumunta sa mahusay na haba upang magamit ang Widdit upang atakehin ang telepono ng isang tao. Tiyak na hindi ito magiging uri ng bagay na tatangkain ng average na Android scammer. Ngunit ang mga umaatake ay maaaring mag-ipon ng napakalaking mapagkukunan kung ang kabayaran ay walang kabuluhan, at ang landscape ng banta ng mobile ay nagbabago sa lahat ng oras. Ano ang maaaring maging isang bilyon-sa-isang pagkakataon ngayon, ay maaaring maging isang siguradong bagay bukas.
Lahat, Up ang Iyong Laro
Ang mga gumagamit ng Android ay maaaring maging mas nababahala tungkol sa seguridad dahil sa mga paghahayag ng Snowden tungkol sa pangangalap ng data ng NSA, ngunit dapat din silang tumitingin sa kanilang sariling mga app. Nakita na namin kung paano sinamantala ng mga ahensya ng espiya ang mga laro tulad ng Angry Birds upang gawin ang kanilang impormasyon sa pagtitipon. Sinabi ni Fine na ang mga gumagamit ay nagtutulak sa Android ecosystem, at kung hinihingi nila ang mas mahusay na seguridad ay dapat sundin ng mga developer.
"Ang bawat tao'y may responsibilidad bilang isang gumagamit ng Android upang itakda ang pamantayan at turuan ang iyong sarili at ang iyong mga anak, " sabi ni Fine. "Ang aming mga anak ay lumalaki, hindi nila malalaman ang isang oras na ang lahat ay hindi ibinahagi." Ipinagpatuloy ng mainam na ang mga nag-develop, "kailangang makaramdam ng parehong pakiramdam ng responsibilidad."
