Cuando descargamos una aplicación, nos pregunta si está bien enviar estadísticas, informes de errores al proveedor. Dado que estos datos se envían desde la aplicación al punto final del servidor, me pregunto cómo funciona la autenticación en este escenario. ¿Se basa esto en un certificado que reside en la aplicación o en alguna clave de cifrado acordada?
Es muy poco probable que este sea un componente importante del modelo de amenaza para la mayoría de los sistemas de informe de errores. En general, será demasiado difícil crear datos falsos que, al parecer, sean datos reales para el sistema y lograr algún objetivo malicioso arbitrario para el arranque. Sería mucho trabajo para una ganancia dudosa.
Dicho esto, hay formas en que puedes limitar potencialmente el impacto de los datos incorrectos. Por ejemplo, puede incluir números de serie de registro de software con los informes. Luego descarta informes que provienen de fuentes no válidas (datos que contienen números de serie que no están registrados por los clientes) o elimina todos los datos enviados con un número de serie determinado si obtiene datos excesivos o conocidos en informes con esos datos. número de serie.
Por lo tanto, el riesgo (y el impacto) pueden ser limitados, pero, en general, no valdrá la pena el esfuerzo para mitigar en primer lugar.
Lea otras preguntas en las etiquetas authentication encryption