Seguridad de aplicaciones móviles vs. PC tradicional Seguridad de escritorio en la Nueva Era [cerrado]

Navega tus respuestas
2

Llevo muchos años usando una PC con Windows. Desde que Android llegó al mercado, he sido muy cauteloso al instalar aplicaciones que requieren permisos no relacionados. Obviamente, estos permisos adicionales podrían usarse con fines malignos, o simplemente podrían usarse para solucionar problemas ... siempre es difícil saberlo. Sin embargo, nunca me preocupé por esto en Windows, que no tiene una tienda de aplicaciones que enumera los permisos. Obviamente, tengo cuidado de escanear todos los tipos de archivos con un antivirus de calidad antes de ejecutarse, pero no estoy seguro de que las amenazas a la PC (en términos de confiar en el desarrollador de software) sean diferentes a las amenazas de privacidad de los desarrolladores móviles. La mayoría de las veces considero que el software comercial que compro o ejecuto de forma gratuita es desarrollado por una empresa (aunque también hay muchos desarrolladores solitarios). La creación de la tienda de aplicaciones me ha proporcionado un medio para ver muchos nombres extraños en la sección de desarrolladores, y no estoy seguro de en quién confiar. Sí, una aplicación puede tener muchos miles de buenos comentarios, pero ¿quién ha diseñado estas aplicaciones al revés, ha revisado su código fuente o las ha monitoreado mientras se sientan y corren para ver qué hacen cuando se duerme? Nuevamente, con la PC, nunca me preocupé por "revisar mis contactos" (no hubo ninguno), "acceder a mi cámara" (no hubo uno), "acceder a los registros de llamadas telefónicas" (no hubo ninguno), etc. Así que esta parte es un poco diferente de PC a móvil en muchos casos. (Sí, sé que muchas PC tienen cámaras web, contactos, etc.) Sin embargo, un desarrollador malintencionado podría tener reinado libre de mi PC si su código pasa el AV.

No estoy seguro de si la lista de permisos proporcionada por la App Store es tan desconcertante y que no estoy acostumbrada a ella ...

{FIN DE LA PARED DEL TEXTO}

... Pero mi pregunta es a la luz de todo lo que se dijo anteriormente (permisos de aplicación móvil desconcertantes y de rango libre), realmente ha cambiado algo en términos de la realidad de la privacidad y los permisos a medida que las personas se mueven de la PC a móvil? ¿Deberíamos simplemente hacer clic en "instalar la aplicación" porque eso es lo que estábamos haciendo de todos modos en la PC?

{COMIENCE LA PARED DE TEXTO}

Puntos de bonificación: sé que hay investigadores que buscan aplicaciones maliciosas, pero las selecciones parecen ser aleatorias y la información está dispersa en varios laboratorios de investigación. ¿Existe una base de datos o una fuente para revisiones de seguridad en aplicaciones específicas (que no sean los permisos que se enumeran en la App Store)?

* Por favor, no haga comentarios como "Dejar de lloriquear" o "¿Cómo puede esperar tener tantas aplicaciones disponibles sin tener también tantos desarrolladores con nombres extraños?" o "¿Quieres tu pastel y comerlo también?" ... Estoy tratando de descubrir cómo vivir en este nuevo mundo.

    
pregunta user58446 07.12.2014 - 09:23
fuente

4 respuestas

1

Dudo que haya una respuesta objetiva y demostrable. Sin embargo, a tu pregunta enfatizada

  

... algo ha cambiado realmente en términos de la realidad de la privacidad y   ¿Permisos a medida que las personas pasan de PC a móvil?

La respuesta que propongo es:

Sí! tl; dr: el proceso de aprobación de la tienda de aplicaciones debe verificar que una aplicación hace lo que dice y nada más. Las fuerzas del mercado hacen que los datos se busquen a tasas alarmantes e intrusivas, mientras que el costo de oportunidad de no aceptar solicitudes de permisos / EULA es la pérdida total de acceso a la funcionalidad de esa aplicación (dado que la mayoría de las aplicaciones de la competencia solicitan el mismo acceso de gran alcance).

No está preguntando acerca del software malintencionado ni está preguntando sobre un contexto general de problemas de seguridad. Está preguntando sobre el nivel general de confianza y las preocupaciones de privacidad de las "aplicaciones" ampliamente disponibles y las está relacionando con las versiones anteriores del software instalado en las PC de escritorio.

El paradigma de la informática y los negocios ha cambiado desde los días de las PC que a menudo estaban desconectadas de Internet. Además, el advenimiento de "big data", aprendizaje automático, extracción de datos, etc. ha cambiado el interés de los desarrolladores y propietarios de negocios en la recopilación de datos.

Hay un valor significativo en la recopilación de datos de gran alcance de todos y cada uno de los dispositivos para el consumo personal (por ejemplo, la mejora del proceso empresarial interno) y también para la venta externa. La justificación de las aplicaciones "gratuitas" sigue siendo similar a la antigua instalación gratuita que cambia su motor de búsqueda e instala complementos en su navegador. Sin embargo, el valor de esa modificación era pequeño y, sin embargo, probablemente planteaba pocas preocupaciones de privacidad para el usuario. Sin duda, era un mundo alejado del acceso a la doble cámara, el micrófono y la lista de contactos.

Básicamente, hay dos opciones para móviles: Google y Apple, y cada una tiene una tienda de aplicaciones que es (en su mayoría o totalmente, respectivamente) la opción exclusiva para software. Exponen numerosas API de publicidad y el clima general, como notaron, es para solicitar permisos de libre alcance. Al igual que el EULA inevitable y no negociable, no queda más remedio que aceptar o renunciar por completo al servicio. No hay paradigmas alternativos viables y, si lo están, están marginados en parte debido a que las plataformas de medios sociales y la integración con estas plataformas es un importante motor de ingresos y relevancia. Basta con mirar el imperio de Playboy, que sucumbió a las reglas de contenido de las redes sociales y, en esencia, abandonó su diferenciación de mercado más importante.

Supongo que, tal vez, dado que los permisos están claramente establecidos y deben aplicarse mediante los procesos de aprobación de la tienda de aplicaciones, se podría argumentar que somos "más seguros" que las operaciones relativamente desconocidas de las aplicaciones, que, como se indica en los comentarios, esencialmente tuvieron reinó libremente una vez instalado.

    
respondido por el Dave 04.11.2015 - 01:05
fuente
1

No .

No debes hacer clic en instalar la aplicación. El proceso que paso es bastante simple:

  1. ¿Qué está haciendo la aplicación?
  2. ¿Qué son los permisos?
  3. ¿Realmente se necesita ese permiso?

Ahora veamos un ejemplo simple:

  • ¿Qué está haciendo la aplicación? Por ejemplo: editor de texto simple (leer / escribir cosas de / a archivos)
  • ¿Qué son los permisos?

Caso 1 :
Permisos: leer / escribir archivos. Micrófono de acceso. Estoy tentado a aceptar este. Aunque este le pide un micrófono, podría usarlo para texto / voz. Si lo hace debe mencionarlo en la descripción. Incluso si lo hace, podría estar espiándote. Pero no obstante, la aplicación podría ser inocente.

Caso 2 : Permisos: leer / escribir archivos. Micrófono de acceso. Acceder a los contactos. Acceso a la conexión de red. Este me haría tener dudas. Como se dijo antes, la aplicación debe ser un simple editor de texto. No hay necesidad de un editor de texto simple para usar el contacto y conectarse a Internet.

Bonus :
Si quieres ir realmente duro, lo que debes hacer es aplicar ingeniería inversa a la aplicación. Mira cómo se usan esos permisos dentro de la aplicación. ¿Dónde está la conexión de mi aplicación a internet? Lo que está pasando con esa conexión. dónde se invoca el micrófono y dónde va el sonido grabado.

    
respondido por el sir_k 08.12.2014 - 10:39
fuente
0

No, nunca debes hacer clic en "instalar la aplicación" si no conoces / no confías en el desarrollador ni en el móvil ni en la PC.

Si solía instalar todo en la PC, ese es su problema, pero no debería hacerlo porque todo lo que instale tiene acceso total a sus datos (lo que es peor, muchos instaladores requieren privilegios administrativos, lo que significa que obtienen acceso total a su sistema, y puede instalar cualquier rootkit desagradable que desee).

Si bien los reputados desarrolladores no causarán demasiado daño (de lo contrario, se arriesgan a tener problemas legales), todavía pueden hacer cosas malas legalmente al declarar lo que hacen en una política de privacidad que nadie lee, y en realidad la mayoría de las barras de herramientas publicitarias y de adware son legales porque tienen políticas de privacidad vigentes que usted acepta cuando lo instala.

La directiva de acceso a datos completos también se aplica a dispositivos móviles, la única diferencia es que la aplicación debe indicar claramente a qué acceso tendrá en su manifiesto y eso es lo que ve cuando se le pregunta si desea instalarlo. El acceso de administrador es un poco difícil de realizar, ya que no está disponible de forma predeterminada en plataformas móviles a menos que rootee su teléfono Android o haga jailbreak a su dispositivo iOS, en cuyo caso las aplicaciones también pueden solicitar acceso de superusuario (root); en iOS ya está disponible de forma predeterminada para todo el software instalado desde Cydia (el equivalente de la tienda de aplicaciones para aplicaciones / ajustes de jailbreak).

Además, en el dispositivo móvil tiene una aplicación mágica llamada "navegador" que puede acceder a muchos servicios en línea sin poner en riesgo sus datos, le sugiero que lo use lo más posible en lugar de instalar aplicaciones (debe tener su aplicación en su teléfono) ser un privilegio ganado por los desarrolladores, no un derecho).

    
respondido por el user42178 07.12.2014 - 19:17
fuente
0

No debe instalar nada que (USTED MISMO) no haya intentado instalar. No hay excepciones, a menos que lo busque y encuentre que es necesario o útil y que proviene de una fuente confiable.

Por ejemplo, necesita instalar winPCap para instalar Wireshark. Cuando se le pide que instale winPCap, vaya y escriba winPCap en un motor de búsqueda para determinar si Wireshark depende de winPCap para su funcionalidad.

En algunas aplicaciones, el software adicional recomendado no es una dependencia y puede omitir la instalación.

Para el registro, estos pasos deben seguirse en todos los dispositivos en los que se pueden instalar software o aplicaciones.

    
respondido por el chrstphrmllr 06.08.2015 - 00:15
fuente

Lea otras preguntas en las etiquetas

¿Es posible explotar una carga de archivos con la lista blanca y el hash de nombre de archivo? ¿Cómo suspender un servidor de respuesta silencioso de la cuenta de Facebook?