[Owasp-Recife] "Android não foi concebido para ser seguro"

Felipe Zimmerle felipe at zimmerle.org
Fri Feb 28 14:21:22 UTC 2014


Este topico em especifico abre margem para um debate grande. Eu acredito
piamente que os problemas para um celular sao os memos de um PC, ou ainda
piores, se voce considerar que o celular esta passando por redes "nao
exatamente confiaves" durante o seu uso normal.

Fato e que: Fabricantes/Vendedores/Operadoras tentam empurrar nos celulares
o modelo de Trusted Computing Base (TCB), aonde, somente aplicacoes
confiaveis (vulgo: assinadas digitalmente e etc...) poderiam ser utilizadas
na plataforma. Ate entao o dialogo e que isto seria melhor para o usuario,
uma vez que, evitaria a propagacao de softwares nao confiaves, como
malwares. Em troca o usuario teria um eletrodomestico, so roda o que o
fabricante autorizar.

Na pratica, o TCB esta servindo para fazer com que o google bloquei
aplicacoes de concorrentes que ele nao quer na plataforma, os malwares
continuam por ai :) A samsung assina o kernel e nao deixa voce trocar, se
vc trocar vc perde a garantia. Quem avisa a ela que vc trocou eh o TCB.

Pra que TCB entao? se nao esta protegendo o usuario. Somente o fabricante.
Dizer que o android nao foi pensado em seguranca e nao querer assumir a
falha, quem ja teve que desenvolver pra android sabe como e chato ter que
lidar com as ferramentas de desenvolvimento bem limitadas por conta de
permissoes e etc... e obviou que ele foi pensando com o "mind set" de
seguranca. Pode nao ter sido _bem pensado_, mas pensado foi :P


So pra jogar lenha na fugueira :) Como disse, podemos passar um bom tempo
debatendo sobre o assunto, acho que ele tem uma margem com outro topico,
bem interessante que seria: Sera que o Guardiao Itau ou o Plugin to BB esta
realmente lhe protegendo? ou protegendo o banco o por consequencia lhe
deixando vulneravel?

:P


/me run!

--
F.



2014-02-28 9:21 GMT-03:00 Ulisses Montenegro <ulisses.montenegro at gmail.com>:

> Os problemas do Android são os mesmos problemas que qualquer sistema
> operacional sem controle das aplicações instaladas possui -- nada impede o
> usuário de comprar gato por lebre. Você pode baixar e instalar software com
> backdoors ou malware da mesma forma em um Windows, Linux ou OSX.
>
> O maior problema, IMHO, é que os usuários são muito menos cuidadosos em
> plataformas móveis -- o Android mostra, por exemplo, a lista exata de
> privilégios requeridos por uma aplicação antes de sua instalação, mas a
> maioria absoluta dos usuários não lê ou não entende o que está ali. Isso já
> é anos luz melhor do que a maioria dos sistemas operacionais tradicionais
> faz.
>
> O modelo alternativo da Apple, que só permite instalação através de sua
> app store oficial, permite ao fornecedor um nível de controle que eu
> considero abusivo, como o bloqueio de aplicativos que competem com os da
> Apple no Market. É o preço que se paga por uma 'segurança' maior...
>
>
> 2014-02-28 9:11 GMT-03:00 Anselmo Lacerda <anselmodsi at gmail.com>:
>
> Caio,
>>
>> É engraçado a frase dele, para mim não justifica a falta de segurança por
>> ser um sistema popular, isso é um dos fatores que atraem os atacantes. mas,
>> quanto mais popular mais deveriam reforçar a segurança. As brechas de
>> segurança que podem custar caro aos usuários e empresas.
>>
>>
>>
>>
>> 2014-02-28 9:03 GMT-03:00 Caio Dias <caio.dias at owasp.org>:
>>
>>> A frase do assunto foi dita pelo chefe de desenvolvimento do Android e
>>> Chrome Sundar Pichai comentou sobre algumas questões<http://www.frandroid.com/actualites-generales/198006_pour-sundar-pichai-le-galaxy-s6-sera-android>bem interessantes sobre a segurança do Android, o futuro da linha Galaxy S,
>>> Tizen e o recém-lançado Nokia X.
>>>
>>> Ao responder uma pergunta sobre malware na plataforma Android, Pichai
>>> disse:
>>>
>>> "O Android não foi concebido para ser seguro, ele foi projetado para dar
>>> mais liberdade. Quando as pessoas falam em malware para o Android, devem
>>> levar em conta o fato de que é o sistema operacional mais popular do mundo.
>>> Se eu tivesse uma empresa dedicada a malware, eu também estaria dirigindo
>>> meus ataques ao Android", disse o executivo.
>>> Fonte:
>>> http://googlediscovery.com/2014/02/27/chefe-do-android-sundar-pichai-comenta-sobre-galaxy-s6-tizen-e-nokia-x/
>>>
>>> --
>>> Caio Dias
>>> <https://about.me/caiodias>https://about.me/caiodias
>>>
>>> _______________________________________________
>>> Owasp-recife mailing list
>>> Owasp-recife at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-recife
>>>
>>>
>>
>> _______________________________________________
>> Owasp-recife mailing list
>> Owasp-recife at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-recife
>>
>>
>
>
> --
> "If debugging is the process of removing software bugs, then programming
> must be the process of putting them in." - *Edsger Dijkstra*
>
> _______________________________________________
> Owasp-recife mailing list
> Owasp-recife at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-recife
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-recife/attachments/20140228/c1bd70de/attachment-0001.html>


More information about the Owasp-recife mailing list