Google determină dezvoltatorii să remedieze defecțiuni de securitate

Deoarece devenise deja o problemă foarte mare, Google a determinat dezvoltatorii de aplicații să remedieze defecțiuni de securitate în peste 275 000 de aplicații Android. În baza alertelor emise prin intermediul programului Google Play App Security Improvement (ASI), au acționat peste 90 000 de dezvoltatori.

Remedierea problemelor de securitate a fost efectuată în multe dintre cazuri sub amenințarea blocării viitoarelor actualizări pentru aplicațiile nesigure. Această măsură a pornit acum doi ani, începând cu anul 2014 Google scanând aplicațiile publicate pe Google Play pentru vulnerabilități cunoscute. De fiecare dată când o astfel de problemă de securitate cunoscută se găsește într-o aplicație, dezvoltatorul primește o alertă atât în cadrul Google Play Developer Console, cât și prin intermediul e-mail-ului.

La începutul programului ASI, Google scana aplicațiile doar pentru acreditări AWS (Amazon Web Services), ce reprezentau o problemă comună la acel moment. Expunerea unor astfel de acreditări ar fi putut conduce la compromiteri grave ale serverelor cloud folosite de către aplicații pentru a stoca datele utilizatorilor, cât și conținut al acestuia. Mai târziu Google a început să scaneze după fișiere Keystone încorporate, ce conțin de obicei chei criptografice. Acestea pot fi atât publice cât și private și sunt folosite pentru criptarea datelor sau securizarea conexiunilor.

Compania Google furnizează informații detaliate cu privire la defecțiunile pe care le detectează, precum și îndrumări privind remedierea acestora. Cu toate acestea, dezvoltatorii care nu reușesc să remedieze problemele detectate în termenele prevăzute de Google, pot pierde capacitatea de a lansa viitoare actualizări ale aplicațiilor afectate. Spre exemplu, dezvoltatorii care au folosit Supersonic SDK în aplicațiile lor, au avut timp până în 26 ianuarie să actualizeze SDK-ul la versiunea 6.3.5 sau chiar una ai nouă. Versiunile mai vechi ale SDK-ului expun funcții sensibile prin intermediul JavaScript, care sunt vulnerabile la atacurile man-in-the-middle.

Raul Mishra, manager al programului de securitate Android a oferit mai multe informații cu privire la toate aceste informații, cât și un raport într-un post.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.