¿Android es una plataforma insegura?

[[nlsgarcia]]

Club Delphi,

Cita:

Empezado por unocero

Con el crecimiento de Android en popularidad en todo el mundo, sólo era cuestión de tiempo para que la creación de software malicioso fuera más constante. Actualmente, esta plataforma puede tener virus, de eso no hay duda, sin embargo, está en el usuario la forma como utiliza sus gadgets el que pueda o no ser atacado por malware.

Ver la noticia completa en : http://www.unocero.com/2013/11/28/an...unocero.com%29



Nelson.

[[movorack]]

Si filtras las Apps que instalas, y lo haces desde tiendas certificadas lo más seguro es que tu equipo estará libre de problemas.

[donald shimoda]

Cita:

Empezado por movorack

Si filtras las Apps que instalas, y lo haces desde tiendas certificadas lo más seguro es que tu equipo estará libre de problemas.

No tan de acuerdo amigo.

Cual es la diferencia entre las app de Android con iOS? Que cada app iOS fue testada por el propio Apple antes de pasar al store. Es un detalle mínimo, peor vital.

Saludos.

[mamcx]

No hombre, eso no es lo unico. Incluso maso eso se hace con Google. Es posible meter un troyano durmiente que saltee el testeo, y como medida de seguridad en si es pobre.

El porque es mas seguro:

- Las apps son firmadas digitalmente
- El OS por defecto solo corre apps firmadas
- Mayor aislamiento entre las apps
- Mayor coste de "entrada" al appstore, no solo la app es validada, sino el desarrollador <- importante!
- Un solo engine de navegador, no hay forma de introducir por medio de navegadores inseguros
- Unicamente safari tiene derecho a hacer JIT. Todos los demás (incluyendo si embedes un webview) deben linkear código estatico.
- No se permite descargar y compilar codigo al vuelo
- Una base de usuarios que espera mucho mas (es mas facil quejarse cuando hay $$ de por medio que cuando es gratis del todo)
- Una comunidad de programadores de un mas alto nivel (o mas exactamente, que en android cualquiera se puede meter)
- Todo esto implica que la seguridad esta sustentada en mejores principios tecnológicos, criptograficos, sociales y de diseño que en Android.

[donald shimoda]

Cita:

Empezado por mamcx

No hombre, eso no es lo unico. Incluso maso eso se hace con Google. Es posible meter un troyano durmiente que saltee el testeo, y como medida de seguridad en si es pobre.

El porque es mas seguro:

- Las apps son firmadas digitalmente
- El OS por defecto solo corre apps firmadas
- Mayor aislamiento entre las apps
- Mayor coste de "entrada" al appstore, no solo la app es validada, sino el desarrollador <- importante!
- Un solo engine de navegador, no hay forma de introducir por medio de navegadores inseguros
- Unicamente safari tiene derecho a hacer JIT. Todos los demás (incluyendo si embedes un webview) deben linkear código estatico.
- No se permite descargar y compilar codigo al vuelo
- Una base de usuarios que espera mucho mas (es mas facil quejarse cuando hay $$ de por medio que cuando es gratis del todo)
- Una comunidad de programadores de un mas alto nivel (o mas exactamente, que en android cualquiera se puede meter)
- Todo esto implica que la seguridad esta sustentada en mejores principios tecnológicos, criptograficos, sociales y de diseño que en Android.

Amigo, ya se que no es lo único. Y ni que comentar sobre Objetive C... Estaba simplificando pero agradezco el que te hayas explayado en todos estos puntos súper importantes al diferenciar una cosa de la otra.

Disclaimer: Soy un ex usuario de Android y mas que feliz usuario de Mac.

[[Chris]]

Cita:

Empezado por mamcx

- Las apps son firmadas digitalmente
- El OS por defecto solo corre apps firmadas

Esto es debatible. Podría decirse que un código malicioso también puede estar firmado.

Cita:

Empezado por mamcx

- Mayor aislamiento entre las apps

Esto también existe en Android. Pero las aplicaciones pueden comunicarse por medio de Intents. Esto no es necesariamente inseguro. De hecho es algo que muchos le piden a iOS.

Cita:

Empezado por mamcx

Mayor coste de "entrada" al appstore, no solo la app es validada, sino el desarrollador <- importante!

Esto no tiene nada que ver con el OS. Más bien con el método de distribución. Usando este argumento, entonces Google mañana podría implementar las mismas políticas de Apple y automáticamente haría "igual" de "seguro" a Android.

Cita:

Empezado por mamcx

- Un solo engine de navegador, no hay forma de introducir por medio de navegadores inseguros
- Unicamente safari tiene derecho a hacer JIT. Todos los demás (incluyendo si embedes un webview) deben linkear código estatico.

Safari debería ser 100% infalible para que esto sea un argumento sólido. No conozco ningun caso en que Safari para iOS halla sido vulnerado. Pero tampoco conozco un caso en Android.

Cita:

Empezado por mamcx

- No se permite descargar y compilar codigo al vuelo

No sé si en Android será permitido. Si lo es, ojalá que ART lo resuelva.

Cita:

Empezado por mamcx

- Una base de usuarios que espera mucho mas (es mas facil quejarse cuando hay $$ de por medio que cuando es gratis del todo)

En serio? Por haber $$ de por medio Windows es el SO más seguro del mundo.

Cita:

Empezado por mamcx

- Una comunidad de programadores de un mas alto nivel (o mas exactamente, que en android cualquiera se puede meter)

Si claro. Sólo los mediocres programan para Android. La elite es iOS. Seguro Apple antes de darte tu Developer Account de pide un diploma de PhD.

Cita:

Empezado por mamcx

- Todo esto implica que la seguridad esta sustentada en mejores principios tecnológicos, criptograficos, sociales y de diseño que en Android.

No. Lo que acabas de decir no implica nada. A nivel de SO ambos son muy seguros. A como un Android con instalaciones "externas" (no hechas desde el Play Store) es menos seguro, igual un iOS Jailbraken es menos seguro que un original y enllavado.

[[Chris]]

Cita:

Empezado por nlsgarcia

Club Delphi,

Ver la noticia completa en : http://www.unocero.com/2013/11/28/an...unocero.com%29



Nelson.

Parace que el el artículo que enlazas debió ser tl;dr (Too long; dont read). El misma artículo al final te dice que Android en si no es inseguro. Lo inseguro está en instalar aplicaciones por medios alternativos a la Play Store.

Cita:

... el usuario debe tener en cuenta que esta [Android] no es una plataforma insegura, sin embargo, es propicia a las amenazas informáticas en caso de que se suela descargar software fuera de Google Play; visitar sitios de mala reputación; abrir enlaces que estén en páginas que no pertenezcan a empresas reconocidas, así como intercambiar archivos con personas desconocidas por medio de cualquier herramienta de comunicación.

En general, basta con evitar las conductas antes mencionadas para que los virus no lleguen al dispositivo Android, sin embargo, hay algunas opciones de antivirus para esta plataforma con las que se puede tener mayor seguridad de que todo estará bien con el dispositivo inteligente.

[[nlsgarcia]]

Chris,

Cita:

Empezado por Chris

...El mismo artículo al final te dice que Android en si no es inseguro. Lo inseguro está en instalar aplicaciones por medios alternativos a la Play Store...

Es correcto, sin embargo ese es un punto muy importante en lo que a seguridad se refiere en lo cual IOS es más estricto

Nelson.

[mamcx]

Cita:

Empezado por Chris

Esto es debatible. Podría decirse que un código malicioso también puede estar firmado.

Pero eso derrota en gran medida su daño. Implica que el codigo malicioso es estatico y facil de aniquilar con el kill switch de apple, y que se puede vetar con analisis estaticos de los ejecutables. Asi que es por mucho una muy efectiva primera linea de defensa (es de notar que lo que hace un jailbreak es precisamente elminar esta primera linea y es lo que abre las puertas a cosas inseguras en iOS).

Cita:

Empezado por Chris

Esto también existe en Android. Pero las aplicaciones pueden comunicarse por medio de Intents. Esto no es necesariamente inseguro. De hecho es algo que muchos le piden a iOS.

En cuanto a lo de intents es cierto. En cuanto a aislamiento, que no es lo mismo, no. Es posible reemplazar/alterar/interceptar y obtener permisos mas elevados con una app de android que una de iOS (y eso, legalmente). Eso abre la puerta a muchas apps muy utiles en android (como por ejemplo, reemplazo de keyboard) pero a la vez significa que absolutamente tienen mas poder y control y que son un vector de ataque mas elevado y riesgoso. Y NO TIENEN QUE SER APPLE/GOOGLE para lograrlo.

Cuando una app maliciosa es el keyboard estamos hablando de cosas mayores.

Ese es el nivel de seguridad de android: Es muy segura siempre y cuando, como en windows, estes pendiente de la seguridad y nunca caigas en una trampa ni nada. En cambio con iOS (a menos que jailbreak) no tienes que hacer practicamente nada, nunca, ni instalar antivirus, ni pensarlo, ni siquiera si eres un niño o un anciano que se emociono con un emoticon supergraciosos que te pide instalar algo que a-mi-que-me-importa-quiero-la-carita pero no puedes, porque los malditos de Apple son asi.

Cita:

Empezado por Chris

Esto no tiene nada que ver con el OS. Más bien con el método de distribución. Usando este argumento, entonces Google mañana podría implementar las mismas políticas de Apple y automáticamente haría "igual" de "seguro" a Android.

No solo eso. Algo que realmente me parece raro de parte de Google es que su pltaforma sea debil cuando a la vez, google es un ente muy capaz de hacerlo tan o mejor que Apple/MS, y eso aplica a todo lo que he mencionado mas este punto.

Si fuera su objetivo que la plataforma (que abarca el OS y mas alla) fuera mas segura lo seria.

Cita:

Empezado por Chris

Safari debería ser 100% infalible para que esto sea un argumento sólido. No conozco ningun caso en que Safari para iOS halla sido vulnerado. Pero tampoco conozco un caso en Android.

Claro que es solido, ya que solo safari tiene el permiso. Las demas apps no (eventualmente, siempre hay apps que tienen de fondo mas permisos que las demas). El caso mas conocido fue el exploit de jailbreakme.com (iOS - que realmente fue exploit de PDF) y en el caso de android hay muchos mas casos de escalamiento de apps, como http://nakedsecurity.sophos.com/2013...cation-bypass/

Cita:

Empezado por Chris

No sé si en Android será permitido. Si lo es, ojalá que ART lo resuelva.

Si es permitido, lo cual es genial si quieres ejecutar scripts remotos con python pero malo desde el angulo de la seguridad. Ya que hay acceso a JIT estamos hablando que los binarios se auto-reescriben en memoria y eso es algo ideal como punto de ejecucion de una rutina de malware, ya que se puede despachar una app "limpia" y usando eso cargar el malware despues. Con iOS, no se puede hacer.

Cita:

Empezado por Chris

En serio? Por haber $$ de por medio Windows es el SO más seguro del mundo.

Por si solo no es gran cosa. Unido a todo lo demas es parte del efecto. MS tiene el angulo del $$$ y los demas... no.

Cita:

Empezado por Chris

No. Lo que acabas de decir no implica nada. A nivel de SO ambos son muy seguros. A como un Android con instalaciones "externas" (no hechas desde el Play Store) es menos seguro, igual un iOS Jailbraken es menos seguro que un original y enllavado.

Si te dijera que linux es tan inseguro que windows... me creerias? Seguro que no. Pero luego te digo: Si tumbas el root, si quitas las claves, si instalas apps inseguras, si dejas puertos abiertos, etc...

Porque eso es lo que estas argumentando. Que cuando todo se va al carajo da igual.

La pregunta es: Es android/iOS una plataforma insegura? La respuesta es un solido si para android y un no para iOS. *PLATAFORMA* no es identico a OS... e igual el OS de android esta hecho de forma mas insegura, porque en el caso de android el poder montar apps no firmadas es la opcion por defecto, mientras que en el caso de iOS hay que corromper el OS para lograrlo:

Cita:

Jailbreaking devices running the Apple iOS operating system is sometimes compared to gaining root access on Android devices. However, these are distinct concepts. In the tightly-controlled iOS world, technical restrictions prevent installing or booting into a modified or entirely new operating system (a "locked bootloader" prevents this), sideloading unsigned applications onto the device is also prevented, and user-installed apps are restricted from having root privileges. Bypassing all these restrictions together constitute the expansive term "jailbreaking" of Apple devices. That is, jailbreaking entails overcoming several types of iOS security features simultaneously.

By contrast, Android devices may or may not have locked bootloaders, with many vendors such as HTC and Google explicitly providing the user the ability to unlock devices and even replace the operating system entirely. Similarly, the ability to sideload apps is typically permissible on Android devices without root permissions. Thus, it is primarily the third aspect of iOS jailbreaking relating to superuser privileges that correlates to Android rooting.

Es por eso que mencione que "Todo esto implica que la seguridad esta sustentada en mejores principios tecnológicos, criptograficos, sociales y de diseño que en Android." De entrada iOS fue diseñado con mejores fundamentos. Los aspectos sociales y economicos lo refuerzan (costumbre de usar apps firmadas del appstore en vez de descargarlas de donde sea= como en windows, desarrolladores registrados, etc).

Los hechos lo comprueban, en numero de exploits, apps maliciosas, etc. Y eso es cierto ahora que android es mas popular y antes que no lo era.

[Casimiro Notevi]

Cita:

Empezado por mamcx

Si te dijera que linux es tan inseguro que windows... me creerias?

Venga, menos tonterías, anda

[[nlsgarcia]]

mamcx,

Cita:

Empezado por mamcx

...Si te dijera que linux es tan inseguro que windows...

Pregunto : ¿Podrías explicar con más detalle tu punto de vista?, en lo personal siempre me ha gustado Windows y lo uso constantemente, pero en lo que ha seguridad y manejo de recursos se refiere Linux siempre ha sido superior

Nelson.

[mamcx]

Cita:

Empezado por Casimiro Notevi

Venga, menos tonterías, anda

No estoy afirmando que lo es, sino lo contrario

Cita:

Empezado por nlsgarcia

Pregunto : ¿Podrías explicar con más detalle tu punto de vista?, en lo personal siempre me ha gustado Windows y lo uso constantemente, pero en lo que ha seguridad y manejo de recursos se refiere Linux siempre ha sido superior

Empecemos por algo, ya que es posible que esto se piense como una pelea de gustos.

MS/Apple/Google/Comunidad Linux tienen acceso a MUY buenos programadores. En el caso de MS, por ejemplo Raymond Chen.

Asi que saquemos por completo que Windows, Android, iOS, Linux, etc son hechos por gente idiota que no sabe, por ejemplo, como hacer un OS bien hecho. Aun cuando es posible que en X momento uno de esos grupos tenga el mas super-ninja equipo de programadores, no es que los otros esten TAAAN detras.

El problema es algo mas simple y todos lo podemos entender: nslgarcia puede ser el tipo mas duro en Delphi pero gerente mata nslgarcia.

Windows es mas inseguro porque, asi es como lo decidio MS. O mas exactamente, la seguridad total no fue una prioridad en sus inicios (ya que el OS era mas cosa de usuarios/redes departamentales) mientras que para *nix (que fue hecho para mainframes, servidores e infraestructura de fondo para gobiernos y militares) la seguridad era algo importante.

Es un asunto de prioridades. Hasta que llego el internet, la escasa seguridad de windows era un problema insignificante en el gran esquema de las cosas...

-----

Esto converge en el tema de Android/iOS. No es que la gente de Google sea estupida y la de Apple sea la mejor. Es mas, apostaria que en *software* Google es mas que Apple (Apple es mas al integrar software/hardware), asi que el estado actual de Android es un resultado de sus prioridades de diseño.

Asi como Apple se enfoca primero en el diseño y la experiencia de usuario (el cliente es el usuario) Google se enfoca es diseminar la plataforma (los OEM son los usuarios). En tal area, el poder instalar apps no firmadas es algo que podria considerarse importante: El programador promedio se pondria emocional si tuviera que firmar sus apps en una plataforma de Google, y ya que igual cualquiera puede adaptar el OS a su antojo (y los OEM son particularmente menos mejor en software que Google/MS/Apple) en cualquier momento es posible debilitar su seguridad.

En contraste, no hay expectativas de que alguien aparte de Apple le meta la mano al OS. Asi que desde 0, le mete la mano como es.

Asi que es un tema ppalmente de que es mas o menos importante para cada plataforma/creador.

[[nlsgarcia]]

mamcx,

Cita:

...Asi que saquemos por completo que Windows, Android, iOS, Linux, etc son hechos por gente idiota que no sabe...Es un asunto de prioridades...que es mas o menos importante para cada plataforma/creador...

Nelson.

[Casimiro Notevi]

Cita:

Empezado por mamcx

No estoy afirmando que lo es, sino lo contrario

Esto demuestra que escribiendo es difícil expresar correctamente lo que se quiere decir, y es la razón de habituales malentendidos

Cita:

Empezado por mamcx

Asi que saquemos por completo que Windows, Android, iOS, Linux, etc son hechos por gente idiota que no sabe...Es un asunto de prioridades...que es mas o menos importante para cada plataforma/creador...