API de Android / problemas de seguridad de desarrollo

Navega tus respuestas
18

¿Cuáles son los problemas de seguridad más importantes que los desarrolladores de aplicaciones de Android deben conocer? ¿Cuáles son los mayores escollos o tipos de vulnerabilidades que deben tener en cuenta? Un problema de seguridad por respuesta, por favor. Estoy particularmente interesado en problemas de implementación, fallas de software, etc.

Editar : Me interesan más las fallas en el nivel de implementación (en lugar de las fallas conceptuales / arquitectónicas / de diseño) y las fallas que son específicas de las aplicaciones de Android (en lugar de las fallas que se aplican a todas las aplicaciones de software). o todo el software de cliente conectado a la red). ¿Existen inconvenientes en el uso de las API de Android que los desarrolladores de Android deben conocer? También me interesan las respuestas que explican cómo se manifiesta la falla en el código, o qué buscar en el código para reconocer la falla. (Ejemplo de fragmentos de código sería especialmente maravilloso.)

    
pregunta D.W. 10.07.2011 - 03:38
fuente

5 respuestas

8

Protección insuficiente de la confidencialidad e integridad de los datos en tránsito. Con frecuencia, los teléfonos inteligentes se conectarán a redes no confiables (por ejemplo, redes GSM o inalámbricas operadas por partes desconocidas): cuando se transmiten datos hacia o desde un host de red, suponga que puede ser manipulado o leído.

    
respondido por el user185 10.07.2011 - 11:18
fuente
6

Aparte de las cosas que ya se mencionaron y se aplican a casi cualquier aplicación de software, recuerde que el aislamiento de la aplicación está lejos de lo que la gente espera que sea: el modelo de confianza de Android existente, que puede instalar aplicaciones y ejecutarlas de manera tal que No podrán acceder a los datos de los demás, es quizás la mayor amenaza para la seguridad de Android. Este modelo se rompió repetidamente y se demostró que es fundamentalmente defectuoso. Incluso en el sistema operativo más seguro, que no es Android (Linux), las aplicaciones malintencionadas pueden transferir datos mediante canales ocultos o inferir información sobre otras aplicaciones mediante canales laterales. Los ataques de sincronización de la memoria caché de la CPU son los más populares aquí, pero una plataforma compleja como Android ofrece muchos más canales para flujos de información ocultos.

Por lo tanto, no solo la red y la tarjeta SD son inseguras, también tiene poca seguridad de que los datos en la carpeta privada de la aplicación son seguros. Si escribe una aplicación sensible a la seguridad, cifrar todo el almacenamiento local es lo menos que puede hacer (y, desafortunadamente, también lo más ...).

Si escribe varias aplicaciones que deberían comunicarse entre sí, observe el sistema de permisos disponible para ese propósito y la semántica de sharedUserId : enlace

    
respondido por el pepe 12.07.2011 - 00:49
fuente
5

Protección insuficiente de los datos contra el robo físico del dispositivo. Es posible que tenga datos a los que solo debe acceder el propietario del teléfono: no asuma que el operador de la pantalla táctil es en realidad el propietario del teléfono.

    
respondido por el user185 10.07.2011 - 11:16
fuente
4

Esta presentación describe una serie de posibles riesgos de seguridad en el desarrollo de aplicaciones de Android.

    
respondido por el D.W. 15.12.2011 - 15:11
fuente
2

Manejo inadecuado de datos maliciosos. Su aplicación de Android tomará datos de todo tipo de fuentes no confiables: hosts de red, el almacenamiento compartido de SD, el enlace USB, por ejemplo. Estos datos deben tratarse con precaución.

    
respondido por el user185 11.07.2011 - 09:50
fuente

Lea otras preguntas en las etiquetas

Cifrado usando AES 256, ¿necesito IV? [duplicar] ¿Soluciones integrales para la protección de código binario y la ingeniería inversa? [cerrado]