Android, la sécurité et vous

Le modèle de sécurité d'Android

Le point clé de la conception d'Android en matière de sécurité est le "bac à sable sécurisé."Aucune application par défaut n'est autorisée à effectuer une opération qui aurait un impact sur une autre application, le système d'exploitation ou l'utilisateur. Cela inclut des choses comme l'écriture ou la lecture de données privées (contacts, e-mails, l'écran d'accueil, etc.), l'accès au réseau, le maintien du téléphone éveillé ou la lecture / écriture dans d'autres fichiers d'application.
Pour permettre à une application d'interférer avec le sandbox d'une autre application, d'accéder à des données privées ou d'exécuter toute fonction non directement lié à l'application elle-même, il doit déclarer explicitement l'autorisation pour tout ce qui n'est pas fourni par lui-même bac à sable. Ces autorisations sont déclarées avant l'installation de l'application et ne peuvent pas être modifiées après l'installation.

La prochaine fois que vous installerez une application à partir du marché, prenez une minute et lisez pour voir exactement ce que l'application peut et ne peut pas faire. Il ne pourra jamais faire plus que ce qui est listé. Les applications qui peuvent accéder aux données qui doivent être privées et sécurisées vous informent de leur première exécution en vous y invitant. Tous ceux qui ont installé un clavier tiers ont vu cela.

Multitâche de l'ID utilisateur et fichiers signés

Android est un système d'exploitation entièrement multitâche et utilise le modèle Linux inhérent de groupes, d'utilisateurs et de vérification de signature pour les fichiers exécutables. Toutes les applications doivent être signées avec un certificat que seul le développeur d'origine possède. Demandez à tous ceux qui piratent leur système - changez beaucoup de tout dans une application et vous devez la re-signer avec une sorte de certificat de test expérimental. Modifiez suffisamment de choses et vous devez signer à nouveau toutes les applications de l'ensemble du système. Même de petites choses comme la taille ou le nom des fichiers image, sans parler des fonctions réelles des applications. Les développeurs d'applications ont chacun un certificat unique et la signature de tout fichier est facilement retracée jusqu'à son auteur.
Chaque application Android reçoit son propre ID utilisateur unique et son propre bac à sable pour jouer. Ceci est généré lorsque l'application est installée et ne peut pas être modifié. Croyez-moi, j'ai essayé. Chaque fois qu'une application essaie de faire quelque chose qu'elle n'a pas l'autorisation de faire, cela entraîne une exception de sécurité et s'arrête.

OK, assez de geek. Qu'est-ce que tout cela signifie?

• Lorsqu'un développeur écrit une application, il ou elle configure toutes les autorisations requises dans l'application ou dispose d'un script qui s'exécute et demande à l'utilisateur d'activer ou de désactiver toutes les fonctionnalités. Parfois les deux.
• Le développeur utilise ensuite un certificat unique pour signer numériquement le fichier.
• Lorsque vous installez l'application, vous voyez exactement les autorisations dont dispose l'application, et celles-ci ne peuvent jamais être modifiées. Si tel est le cas, la signature numérique ne correspondra plus et l'application ne sera pas autorisée à s'exécuter.
• Si à cause d'un bogue ou d'une personne mal intentionnée, une application essaie de faire quelque chose qu'elle n'est pas autorisée à faire, elle est forcée de se fermer et la faille de sécurité est écrite dans le fichier journal.

Ainsi, lorsque vous installez une application, les autorisations d'application répertoriées sur sa page de marché sont ce qu'elle peut et ne peut pas faire. Période. Fin de l'histoire.

E-mail et sécurité sur Android

Laissons le gros ours hors du chemin - Échange. Le courrier électronique Exchange est sécurisé. Peu importe que vous utilisiez un Palm, Windows Mobile, un BlackBerry, un iPhone ou deux canettes et une chaîne. Toute la sécurité est configurée sur le serveur et les clients doivent se conformer ou ils n'ont pas accès. C'est pourquoi le support d'Exchange jusqu'à Android 2.1 est complètement nul. Le client ne prenait pas en charge les configurations de sécurité les plus couramment utilisées et l'administrateur du serveur les a modifiées (peu sûr!) ou l'utilisateur a été forcé d'utiliser une autre méthode pour obtenir le courrier Exchange.
Heureusement, Eclair a résolu un grand nombre de ces problèmes et HTC a pris en charge la plupart des autres. Le support Exchange n'est pas parfait. Ce n'est pas aussi bon que Windows Mobile. Mais c'est finalement assez bon pour la plupart des cas. Utilisateurs Droid et N1 - si l'administrateur de votre serveur ne peut pas vous mettre en marche sur son système, pensez à suivre le chemin de l'obscurité et rootez votre téléphone et installez une ROM Sense, ou recherchez une solution tierce comme Atterrissage. Il y a de fortes chances que cela vous rende conforme.
Tout autre e-mail n'est pas sécurisé. Période. Blackberry BIS ou GMail peuvent crypter les données du serveur de messagerie vers votre combiné ou navigateur Web, mais toutes les données de courrier électronique entre les serveurs de messagerie réguliers sur Internet sont envoyées en texte brut. Le SEUL moyen de sécuriser votre messagerie est d'utiliser le cryptage ou d'utiliser un VPN pour se connecter au serveur de messagerie interne d'un réseau privé. S'il traverse les tubes, quiconque a un peu d'ambition et un logiciel gratuit de style chapeau noir peut l'intercepter et voir ce que vous envoyez ou recevez. Beaucoup de gens essaieront de dire différemment, et ils le croiront probablement même, mais cela n'en fait rien. Si le courrier électronique était de nature sécurisée, il n'y aurait aucun tirage au sort pour des solutions coûteuses comme Exchange, BES ou VPN. L'e-mail que vous envoyez à votre ami pour lui dire à quel point vous avez été gaspillé pendant le Hempfest '09, ou les photos coquines que vous envoyez à vos amis les plus spéciaux sont à prendre. J'aurais aimé que ce ne soit pas le cas, mais c'est le cas - à moins que vous ne preniez des précautions supplémentaires pour qu'il en soit ainsi.
La partie la plus effrayante de tout cela est à quel point il est facile d'intercepter un e-mail et de le lire. Si vous ou moi pouvons le faire, pariez votre dernier dollar que ces jeunes géniaux peuvent le faire plus facilement, mieux et plus rapidement. La bonne nouvelle est que personne ne lira probablement votre e-mail à moins que vous ne leur donniez une raison. Des milliards de messages volent à tout moment, et le vôtre n'en est qu'un, à moins que vous ne le rendiez attrayant d'une manière ou d'une autre.

Assez de doomcasting (j'ai tellement volé cette ligne à Keith et Dieter: P), examinons quelques moyens de combler les lacunes du modèle de sécurité d'Android.

Suite de sécurité de Jerry

La plus grande distinction entre Android et les autres modèles d'OS mobiles connus pour leur sécurité ** toux ** mûre ** toux ** est le recours à des solutions tierces. Android est codé pour être léger et moyen, mais les développeurs ont accès aux composants de base pour améliorer ou ajouter des fonctionnalités. Handcent ou Chomp SMS en sont de bons exemples, tout comme Touchdown mentionné ci-dessus. Il n'y a aucune raison pour que les développeurs ne soient pas autorisés à proposer des solutions alternatives (et peut-être grandement améliorées!) Aux composants de base du système d'exploitation. Après tout, leur application est signée par une clé qui leur est directement liée et elle ne peut pas être modifiée. Difficile de s'en sortir avec les affaires de singe quand votre bonne réputation est collée partout.
Puisque je suis sur un bender de sécurité cette semaine, regardons une application de déclenchement qui vous accordera un peu de tranquillité d'esprit. Ce ne sont pas les seules solutions disponibles et vous devriez toujours explorer toutes vos options, mais ce sont les applications qui fonctionnent pour moi et je me sens très à l'aise de les recommander. Et la meilleure partie - ils sont tous 100% gratuits.

OI Safe

OI Safe est un gestionnaire de mots de passe gratuit. Une de ces fonctions qui n'est pas intégrée à Android, mais très bien réalisée par plusieurs développeurs tiers. Il prend en charge le cryptage AES et se connecte à d'autres applications d'OpenInternets. Regardons-le en cours d'utilisation.
Lorsque vous configurez l'application pour la première fois, vous entrez un mot de passe principal, puis configurez des entrées pour chaque mot de passe dont vous devez suivre. Empêche les dickens de conserver un fichier texte avec eux sur votre carte SD. Quelle? Vous n'avez pas réalisé que tout le monde pense à ça? C'est le premier endroit où les gens regarderont quand ils n'ont rien de bon. Ensuite, chaque fois que vous ouvrez l'application, vous avez la possibilité de saisir le mot de passe principal.

l'écran du mot de passe principal

Faites-en une bonne. N'utilisez pas votre numéro de téléphone!

Lorsque vous le saisissez correctement, vous obtenez une liste de catégories. Dans mon exemple, j'utilise deux - un pour les entreprises et un pour les sites personnels.

catégories

Puisque mon entrée personnelle est personnelle, jetons un coup d'œil dans ma catégorie d'entreprise. Vous obtenez de voir chaque entrée dans une liste.

bizness sérieux!

Appuyez sur l'un d'eux (remarquez que je n'ai pas dit cliquez cette fois James N. - vieilles habitudes et tout) et
il saute, avec un petit bouton pratique comme raccourci vers le site Web. Il copie également le mot de passe dans le presse-papiers, prêt à être collé à l'endroit approprié.

entrée pour la machine de développement de certains idiots

Ne faites pas l'erreur d'utiliser le même mot de passe pour partout et pour tout. Vous n'êtes pas obligé. Des applications comme OI Safe facilitent la gestion des mots de passe sécurisés, et il existe également de nombreuses solutions de bureau. Obtenez OI Safe ci-dessous

[Lien du marché] | [Cerveau d'application]

Widget LockMe

LockMe Widget active / désactive le verrouillage de modèle lorsque votre téléphone se met en veille en un seul clic. Il n'y a pas d'application, ce n'est qu'un widget. Mais c'est un sacré bon. Cliquez pour fermer la porte, l'écran de verrouillage est activé. Cliquez pour l'ouvrir et il est désactivé. Facile à dire si le verrouillage du motif est
on ou off, et super facile à changer. Ça n'a pas l'air mal non plus!

Verrouillez-le moi bébé (OK, je suis désolé. Je vais m'arrêter maintenant)

Obtenez-le ci-dessous
[Lien du marché] | [Cerveau d'application]

Agent de sécurité

Security Guarder est un pare-feu pour votre téléphone. Il vous permet de filtrer les appels et les SMS indésirables, économisant à la fois votre santé mentale et vos pièces. Le plus intéressant, ce sont les règles par défaut intégrées. Ils permettent une configuration rapide pour bloquer la liste noire, autoriser uniquement la liste blanche, bloquer les appelants et les SMS inconnus, autoriser uniquement vos contacts ou une combinaison de ceux-ci. Lancez-le et vous verrez un tableau de bord où vous pouvez voir les journaux, configurer vos listes, définir les paramètres généraux de l'application ou modifier vos règles.

le tableau de bord

La règle "par défaut" est super personnalisable et permet différents paramètres pour le texte ou la voix du même numéro.

règles par défaut

L'affichage et l'édition de vos listes (en noir et blanc) sont simples et faciles à gérer.

Ma liste blanche

Une pression sur l'icône des règles dans le tableau de bord vous donne une fenêtre de paramètres rapide pour remplacer votre ensemble de règles.

suis les règles

C'est l'une de ces applications dont je ne peux pas croire qu'elle soit gratuite. Les applications équivalentes sur d'autres plates-formes peuvent devenir assez coûteuses. La meilleure chose - cela fonctionne. Pas besoin de sauter sur un pied ou de sacrifier un poulet pour activer le pare-feu. Prenez Security Guarder ci-dessous
[Lien du marché] | [Cerveau d'application]

Défense mobile

Selon les propres mots des développeurs, Mobile Defense est «comme LoJack® pour votre téléphone». Une fois installé, vous avez la possibilité de suivre, d'effacer en toute sécurité, de déclencher une alerte et d'obtenir les détails d'utilisation à partir d'un site Web sécurisé. L'installation est simple comme bonjour. Installez-le à partir du marché, exécutez-le une fois et vérifiez votre courrier électronique pour un lien, puis redémarrez. L'icône des applications disparaît alors et personne d'autre que vous ne le sait. Si vous êtes enraciné, vous pouvez même installer l'application dans les fichiers système du système d'exploitation afin que même si quelqu'un recherche l'historique de votre marché et le trouve installé, il ne puisse pas le désinstaller facilement. Oh ai-je mentionné - c'est LIBRE?

Lorsque vous vous connectez à votre compte sur le site Web sécurisé, vous avez accès à votre précieux appareil Android afin que vous puissiez dire au Police là où il se trouve, effacez tout matériel sensible, ou même émettez un avertissement que vous avez appelé le fuzz et savez où votre bébé est. Découvrez les screenies ci-dessous.

l'écran d'activité

connectez-vous à votre téléphone

Voir sur la carte

Prêt pour l'action

Ce chiot est également précis. Dans la dernière photo, je suis à côté de la maison au Grill... là où le point bleu dit que je suis. Dieu merci, Google Maps n'obtient pas de meilleure résolution dans ma région, ou je devrais arrêter d'emporter mon téléphone dans la salle de bain avec moi :)
Prenez Mobile Defense ci-dessous
[Lien du marché] | [Cerveau d'application]

Bien sûr, rien ne remplace le bon sens. Mais armé des connaissances correctes et de quelques excellents outils gratuits, Android est un système d'exploitation aussi sécurisé que n'importe quel autre - même le sien
qui vantent leur ensemble de fonctionnalités de sécurité.
A la semaine prochaine,
Jerry