Table des matières:
- Modèle de sécurité d'Android
- Le multitâche de l'ID utilisateur et les fichiers signés
- OK, assez geek-parler. Qu'est-ce que tout cela signifie?
- E-mail et sécurité sur Android
- Jerry's Security Suite
- Coffre-fort OI
- LockMe Widget
- Gardien de sécurité
- Défense mobile
L’une des principales idées fausses des utilisateurs qui migrent vers la plate-forme Android est qu’ils
sacrifieront la sécurité par rapport à leur ancienne version de système d'exploitation pour smartphone. Cela ne pouvait pas être plus éloigné de la vérité. Installez-vous avec votre boisson préférée et suivez-nous après la pause. Nous parlerons des fonctionnalités de sécurité d'Android, ainsi que de ce que vous devez savoir et faire pour que tout se passe bien.
Modèle de sécurité d'Android
Pour permettre à une application d'interférer avec le sandbox d'une autre application, d'accéder à des données privées ou d'effectuer une fonction qui n'est pas directement liée à l'application elle-même, elle doit explicitement déclarer une autorisation pour tout ce qui n'est pas fourni par son propre sandbox. Ces autorisations sont déclarées avant l'installation de l'application et ne peuvent pas être modifiées après l'installation.
La prochaine fois que vous installerez une application à partir du marché, prenez une minute pour lire ce que l'application peut et ne peut pas faire. Il ne pourra jamais faire plus que ce qui est indiqué. Les applications qui peuvent accéder à des données qui doivent être privées et sécurisées vous informent du moment où elles sont exécutées en vous y invitant. Tous ceux qui ont installé un clavier tiers ont vu cela.
Le multitâche de l'ID utilisateur et les fichiers signés
Android est un système d'exploitation entièrement multitâche et utilise le modèle Linux inhérent de groupes, d'utilisateurs et de vérification de la signature des fichiers exécutables. Toutes les applications doivent être signées avec un certificat que seul le développeur d'origine possède. Demandez à n'importe qui qui pirate son système - changez une grande partie de tout ce qui se trouve dans une application et vous devez le signer à nouveau avec une sorte de certificat de test expérimental. Changez suffisamment de choses et vous devez signer à nouveau chaque application dans l'ensemble du système. Même de petites choses comme la taille des fichiers d'image ou le nom, sans parler des fonctions réelles des applications. Les développeurs d'applications possèdent chacun un certificat unique et la signature de tout fichier est facilement identifiable par son auteur.
Chaque application Android se voit attribuer son propre ID utilisateur et son propre sandbox dans lequel jouer. Il est généré lors de l'installation de l'application et ne peut pas être modifié. Croyez-moi, j'ai essayé. Chaque fois qu'une application essaie de faire quelque chose pour laquelle elle n'est pas autorisée, une exception de sécurité se produit et elle s'arrête.
OK, assez geek-parler. Qu'est-ce que tout cela signifie?
- Lorsqu'un développeur écrit une application, il configure toutes les autorisations requises dans l'application ou dispose d'un script qui s'exécute et demande à l'utilisateur d'activer ou de désactiver les fonctionnalités. Parfois les deux.
- Le développeur utilise ensuite un certificat unique pour signer numériquement le fichier.
- Lorsque vous installez l'application, vous voyez exactement les autorisations dont dispose l'application, et celles-ci ne peuvent jamais être modifiées. S'ils le sont, la signature numérique ne correspondra plus et l'application ne sera pas autorisée à s'exécuter.
- Si un bogue ou une personne mal intentionnée tente de faire quelque chose qui ne lui est pas permis, elle est forcée de se fermer et la violation de la sécurité est consignée dans le fichier journal.
Ainsi, lorsque vous installez une application, les autorisations d’application répertoriées sur sa page de marché sont ce qu’elle peut et ne peut pas faire. Période. Fin de l'histoire.
E-mail et sécurité sur Android
Permet de dégager le gros ours - Échange. Le courrier électronique Exchange est sécurisé. Peu importe que vous utilisiez un Palm, Windows Mobile, un BlackBerry, un iPhone ou deux cannettes et une chaîne. Toute la sécurité est configurée sur le serveur et les clients doivent se conformer ou ils n'ont pas accès. C’est la raison pour laquelle le support d’Exchange jusqu’à Android 2.1 est totalement nul. Le client ne prenait pas en charge les configurations de sécurité les plus couramment utilisées et l'administrateur du serveur les avait modifiées (non sécurisée!) Ou l'utilisateur était obligé d'utiliser une autre méthode pour obtenir le courrier Exchange.
Heureusement, Eclair a résolu un grand nombre de ces problèmes et HTC a récupéré la majeure partie du reste. Le support d'échange n'est pas parfait. Ce n'est pas aussi bon que Windows Mobile. Mais c'est finalement suffisant pour la plupart des cas. Utilisateurs de Droid et de N1 - si l’administrateur de votre serveur ne parvient pas à vous installer sur son système, songez à suivre la voie dans l’obscurité, installez un répertoire ROM Sense ou installez une ROM Sense, ou faites appel à une solution tierce, telle que Touchdown. Il y a de fortes chances que cela vous rende conforme.
Tout autre courrier électronique n'est pas sécurisé. Période. Blackberry BIS ou GMail peuvent chiffrer les données du serveur de messagerie sur votre téléphone ou votre navigateur Web, mais toutes les données de messagerie entre les serveurs de messagerie classiques sur Internet sont envoyées en texte brut. Le SEUL moyen de sécuriser votre courrier électronique consiste à utiliser le cryptage ou à utiliser un VPN pour vous connecter au serveur de messagerie interne d'un réseau privé. S'il passe par les intertubes, toute personne ayant un peu d'ambition et un logiciel gratuit de style black hat peut l'intercepter et voir ce que vous envoyez ou recevez. Beaucoup de gens essaieront de dire différemment, et ils y croiront probablement, mais cela ne le rend pas ainsi. Si le courrier électronique était de nature sécurisée, les solutions coûteuses telles que Exchange, BES ou VPN ne seraient pas attrayantes. Le courrier électronique que vous envoyez à votre ami pour lui dire à quel point vous avez perdu votre temps lors du Hempfest '09, ou les photos coquines que vous envoyez à vos amis les plus chers, sont là pour les prendre. J'aurais aimé que ce ne soit pas le cas, mais ça l'est - à moins que vous preniez des précautions supplémentaires pour que cela soit ainsi.
La partie la plus effrayante de tout cela est à quel point il est facile d'intercepter un courrier électronique et de le lire. Si vous et moi pouvons le faire, pariez votre dernier dollar sur le fait que ces enfants géniaux peuvent le faire plus facilement, mieux et plus rapidement. La bonne nouvelle est que personne ne lira vos courriers électroniques à moins que vous ne leur en donniez la raison. Des milliards de messages circulent à tout moment, et le vôtre n'en est qu'un, à moins que vous ne le rendiez attractif.
Assez de doomcasting (j'ai tellement volé cette ligne à Keith et Dieter: P), examinons quelques moyens de combler les lacunes du modèle de sécurité d'Android.
Jerry's Security Suite
La plus grande distinction entre Android et les autres modèles de systèmes d'exploitation mobiles connus pour leur sécurité ** toux ** Blackberry ** toux ** est la confiance accordée aux solutions tierces. Android est codé pour être maigre et moyen, mais les développeurs ont accès aux composants de base pour améliorer ou ajouter des fonctionnalités. Handcent ou Chomp SMS en sont d'excellents exemples, tout comme Touchdown mentionné ci-dessus. Il n'y a aucune raison pour que les développeurs ne soient pas autorisés à proposer des solutions alternatives (et éventuellement grandement améliorées!) Aux composants centraux des systèmes d'exploitation. Après tout, leur application est signée par une clé qui leur est directement liée et ne peut pas être modifiée. Difficile de s’en tirer avec des affaires de singe quand votre nom est plâtré partout.
Depuis que je suis sur un bender de sécurité cette semaine, regardons une série d’applications qui vous donneront un peu d’esprit. Ce ne sont pas les seules solutions disponibles, et vous devriez toujours explorer toutes vos options, mais ce sont les applications qui fonctionnent pour moi et je me sens très à l'aise de les recommander. Et la meilleure partie: ils sont tous gratuits à 100%.
Coffre-fort OI
OI Safe est un gestionnaire de mot de passe gratuit. Une de ces fonctions qui n’est pas intégrée à Android, mais très bien réalisée par plusieurs développeurs tiers. Il prend en charge le cryptage AES et se connecte à d'autres applications OpenInternets. Regardons-le en cours d'utilisation.
Lorsque vous configurez l'application pour la première fois, vous entrez un mot de passe principal, puis vous configurez les entrées pour chaque mot de passe que vous devez suivre. Cela évite de garder un fichier texte avec eux sur votre carte SD. Quelle? Vous n'avez pas réalisé que tout le monde y pense? C'est le premier endroit où les gens vont regarder quand ils ne sont pas bons. Ensuite, chaque fois que vous ouvrez l'application, vous avez la possibilité de saisir le mot de passe principal.
l'écran de mot de passe principalFaites-en un bon. N'utilisez pas votre numéro de téléphone!
Lorsque vous le saisissez correctement, vous obtenez une liste de catégories. Dans mon exemple, j'en utilise deux: un pour les entreprises et un pour les sites personnels.
catégoriesPuisque mon entrée personnelle est personnelle, jetons un coup d’œil dans ma catégorie d’entreprise. Vous obtenez de voir chaque entrée dans une liste.
sérieux bizness!Appuyez sur l'un d'eux (remarquez que je n'ai pas dit cliquer cette fois, James N. - vieilles habitudes et tout) et
il saute, avec un petit bouton pratique comme raccourci vers le site Web. Il copie également le mot de passe dans le Presse-papiers, prêt à être collé à l'endroit approprié.
entrée pour une machine de développement de goofy dorkNe commettez pas l'erreur d'utiliser le même mot de passe partout et partout. Tu n'es pas obligé. Des applications telles que OI Safe facilitent la gestion des mots de passe sécurisés. Il s'agit également de nombreuses solutions de bureau. Obtenir OI Safe ci-dessous
|
LockMe Widget
LockMe Widget active / désactive le verrouillage du modèle lorsque votre téléphone se met en veille en un clic. Il n'y a pas d'application, ce n'est qu'un widget. Mais c'est une sacrément bonne. Cliquez pour fermer la porte, l'écran de verrouillage est activé. Cliquez pour l'ouvrir, et c'est désactivé. Facile de savoir si le motif est verrouillé
sur ou off, et super facile à changer. Cela ne semble pas mal non plus!
Obtenez-le ci-dessous
|
Gardien de sécurité
Security Guarder est un pare-feu pour votre téléphone. Il vous permet de filtrer les appels et les textes indésirables, tout en préservant votre santé et votre santé. Ce qui est vraiment sympa, ce sont les règles par défaut intégrées. Ils permettent une configuration rapide pour bloquer la liste noire, autoriser uniquement la liste blanche, bloquer les appelants inconnus et les textes, autoriser uniquement vos contacts ou une combinaison de ceux-ci. Lancez-le et vous verrez un tableau de bord où vous pouvez voir les journaux, configurer vos listes, définir les paramètres globaux de l'application ou modifier vos règles.
le tableau de bordLa règle "par défaut" est super personnalisable et autorise différents réglages pour le texte ou la voix à partir du même numéro.
règles par défautL'affichage et la modification de vos listes (en noir et blanc) sont simples et faciles à gérer.
Ma liste blancheUne pression sur l'icône de règles dans le tableau de bord vous donne une fenêtre de paramètres rapides pour remplacer votre jeu de règles.
suis les règlesCeci est l'une de ces applications que je ne peux pas croire est gratuit. Des applications équivalentes sur d'autres plates-formes peuvent être très coûteuses. La meilleure chose - ça marche. Pas besoin de sauter sur un pied ou de sacrifier un poulet pour activer le pare-feu. Prenez le gardien de sécurité ci-dessous
|
Défense mobile
Selon les propres mots des développeurs, Mobile Defense est "similaire à LoJack® pour votre téléphone". Une fois installé, vous avez la possibilité de suivre, d’effacer en toute sécurité, de déclencher une alerte et d’obtenir les détails de l’utilisation à partir d’un site Web sécurisé. L'installation est simple comme bonjour. Installez-le à partir du marché, lancez-le une fois, vérifiez si votre courrier électronique contient un lien, puis redémarrez. L'icône des applications disparaît alors et personne d'autre que vous ne saura qu'il est là. Si vous êtes enraciné, vous pouvez même installer l'application dans les fichiers système du système d'exploitation. Ainsi, même si une personne cherche dans l'historique de son marché et la trouve installée, elle ne peut pas la désinstaller facilement. Oh, ai-je mentionné - c'est GRATUIT ?
Lorsque vous vous connectez à votre compte sur le site Web sécurisé, vous avez accès à votre précieux appareil Android pour que vous puissiez dire à la police où il se trouve, effacer tout matériel sensible ou même émettre un avertissement indiquant que vous avez appelé le fuzz et savoir où se trouve votre bébé. est. Découvrez les screenies ci-dessous.
l'écran d'activité connectez-vous à votre téléphone Voir sur la carte Prêt pour l'actionCe chiot est précis, aussi. Dans la dernière photo, je suis à côté de la maison au Grill … là où le point bleu dit que je suis. Heureusement, Google Maps n'a pas de meilleure résolution dans ma région, sinon je devrais arrêter de prendre mon téléphone avec moi dans la salle de bain:)
Prenez Mobile Defense ci-dessous
|
Bien sûr, rien ne remplace le bon sens. Mais doté des connaissances appropriées et de certains outils gratuits formidables, Android est un système d’exploitation aussi sécurisé que tout autre
qui vantent leur ensemble de fonctionnalités de sécurité.
A la semaine prochaine
Jerry