Divulgación de Libaries usadas en la aplicación

2

Un colega y yo discutíamos el hecho de que, debido a las licencias, necesitamos revelar un par de bibliotecas que usamos en el desarrollo de una aplicación para Android que creamos. Dije que, desde un punto de vista de seguridad, probablemente sería mejor revelar el mínimo (así que no revelar las bibliotecas que no lo requieren específicamente). Dijo que era perezoso y que no quería eliminar los que no eran necesarios.

Mi filosofía es: si alguien encontrara una vulnerabilidad que pudiera afectar a una biblioteca específica que podría representar una amenaza para nuestra aplicación

¿Qué tanto de un riesgo potencial podría suponer la divulgación de bibliotecas?

    
pregunta Black Magic 22.06.2016 - 17:21
fuente

2 respuestas

3
  

Si alguien encuentra una vulnerabilidad que afecte a una biblioteca específica que podría representar una amenaza para nuestra aplicación

La defensa contra eso es no usar la biblioteca. Usar la biblioteca y no documentarla no cambia el hecho de que su aplicación es vulnerable.

No documentar que utiliza la biblioteca hace que sea un poco más difícil para las personas descubrir que su aplicación la usa, pero solo marginalmente. Es posible que no se muestre en ciertas exploraciones automáticas (por ejemplo, una búsqueda en Google) pero aparecerá en otras exploraciones automáticas (por ejemplo, en busca de ciertos símbolos) y aparecerá una vez que alguien haga una prueba (incluso si su aplicación no estaba usando la biblioteca , la gente podría probarlo para errores similares). Y una vez que una persona lo ha encontrado, puede hacer pública la información.

Por otra parte, si no revela que utiliza la biblioteca, sus usuarios no tendrán una manera fácil de encontrar que si una vulnerabilidad afecta a la biblioteca, existe un grave riesgo de que afecte a su aplicación. Al no divulgar, aumenta el riesgo para sus usuarios.

Por lo tanto, el efecto de seguridad de la red de revelar qué bibliotecas usa su aplicación es positivo.

    
respondido por el Gilles 23.06.2016 - 01:27
fuente
1

Puede haber un riesgo potencial si revela bibliotecas con vulnerabilidades conocidas o posteriores que se descubran. Esto no es diferente a un sitio web que usa WordPress y un popular complemento de imagen que se compone para permitir las cargas de shell o un sistema operativo que tiene un programa que permite el acceso remoto de alguien a través de una vulnerabilidad. Si el atacante sabe que existen vectores en estos productos, puede usarlos.

Sin embargo, tomemos un minuto para hablar sobre las licencias. La mayoría de las licencias requieren que incluya la licencia o la información necesaria al distribuir el software en el que se utiliza. Algunas, como la GPL, incluso requieren que abra el código fuente. La Google Play Store e incluso la iOS Store se toman estas licencias muy en serio. Si dice que utiliza una biblioteca de terceros y está violando su licencia. El (los) autor (es) de esa biblioteca pueden solicitar la eliminación de su aplicación y se puede eliminar e incluso incluir en una lista negra del mercado. Sin incluir ninguna acción legal adicional tomada en su contra.

Por lo tanto, es muy importante que entienda las licencias que usan sus bibliotecas. Y si no estás de acuerdo con ellos, usa otro o crea el tuyo. Si la licencia no requiere una mención o la inclusión de la licencia, no tiene que revelar su uso en absoluto. Incluso hay licencias como el WTFPL que no lo obligan a acreditar su uso. Pero para los que no tienen más remedio que revelar su uso. Esto hace que el aspecto de seguridad como motivo de no divulgación sea un argumento discutible.

    
respondido por el Bacon Brad 22.06.2016 - 21:22
fuente

Lea otras preguntas en las etiquetas