Quelles sont les implications de sécurité d'utiliser une application construite "pour débogage"? -- applications domaine et security domaine et debug domain android en relation problème

What are the security implications of using an app built “for debug”?



7
vote

problème

français

Je viens de venir sur plusieurs .apk des fichiers hébergés avec des projets GitHub qui sont "compilés pour débogage" (c'est-à-dire avoir application-debuggable ensemble, lequel peut par exemple vérifier à l'aide de < Code> aapt dump badging /path/to/apk | grep debuggable . Ne pas être un Dev Android, je n'ai que de vagues idées ce que c'est pour (débogage prolongé via adb) - mais ce n'est pas la question ici.

Ma question est originaire d'un point de vue de l'utilisateur final : quelles sont les implications (sécurité) d'installation / à l'aide d'une telle application? Quels sont les risques que l'on doit être au courant?

Bien sûr, j'ai cherché sur le Web pour des allusions à ce sujet, mais à nouveau seulement des indices vagues comme "tu n'as pas" ", et" pour une libération ceci devrait être éteinte "- aucune raison n'est pas des raisons. Pour cela, on pourrait penser "évidemment pas grave" - ​​mais les notes comme passent du temps à penser aux implications de sécurité pour vos utilisateurs dans ce contexte (voir Cette réponse à le cas) suggère différemment.

Quelqu'un peut-il ici fournir des idées?

langue Anglaise

I've just come upon several .apk files hosted with Github projects which are "compiled for debug" (i.e. having application-debuggable set, which one can e.g. check using aapt dump badging /path/to/apk | grep debuggable. Not being an Android dev, I only have vague ideas what that is for (extended debugging via ADB) xe2x80x93 but that's not the question here.

My question is from a pure end-user perspective: What are the (security) implications of installing/using such an app? What are the risks one must be aware of?

Of course I searched the web for hints on this, but again only got vague hints like "thou shalt not", and "for a release this should be switched off" xe2x80x93 no reasons, no background. For that one could think "obviously no big deal" xe2x80x93 but notes like Do spend some time thinking about the security implications for your users in this context (see this answer at SO) suggest differently.

Can anyone here provide some insights?

        
       
       

Liste de réponses

5
 
vote
vote
Meilleure réponse
 

Il n'y a pas vraiment de problèmes innés en exécutant une application de débogage. Si quelqu'un saisit votre téléphone déverrouillé, active le mode développeur et commence à déboguer, ils peuvent être en mesure de saisir des informations sensibles de la mémoire de l'application légèrement plus facilement - mais ce n'est pas particulièrement réaliste et facilement contré avec un écran de verrouillage.

Les informations de débogage rendront également plus difficile l'utilisation de la sécurité par l'obscurité, que nous connaissons tous n'est pas une sécurité réelle. Cela n'est évidemment pas un facteur lorsqu'il s'agit d'applications open-source, car ils peuvent simplement inspecter la source pour trouver une faille.

Cependant, les spécificités de quels chemins de code que vous avez ajoutés pour le débogage peuvent certainement être des trous de sécurité. Peut-être pour des fins de test et de vérification, la version de débogage écrit le mot de passe de l'utilisateur à LOGCAT lorsqu'ils se connectent, par exemple. Il y a beaucoup de PII qui pourrait être exposé de cette façon.

Pour un utilisateur final, tout ce que vous savez est que c'est probablement plus probable pour une application arbitraire pour fuir des informations s'il s'agit d'une version de débogage. À moins que vous ne le recherchiez vous-même, vous n'êtes pas susceptible de le voir. C'est probablement une raison suffisante pour éviter de telles applications - doublement, puisqu'un développeur qui ne connaît pas la différence entre les versions de libération et de débogage ne protège probablement pas les données très compétentes non plus.

dan hulme aussi fait un bon point dans le chat : une version de débogage ne sera probablement pas correctement Signé, ce qui signifie qu'il pourrait être "mis à niveau" d'une source malveillante. Je supposerais à nouveau que cela soit un événement improbable, mais c'est un autre point contre cela.

 

There aren't really any innate problems with running a debug app. If someone grabs your unlocked phone, enables Developer Mode, and starts debugging they might be able to grab sensitive information from the app's memory slightly more easily xe2x80x94 but that's not particularly realistic and easily countered with a lock screen.

Debug information will also make it harder to make use of security through obscurity, which we all know is not real security. This obviously isn't even a factor when it comes to open-source apps, since they can simply inspect the source to find a flaw.

However, the specifics of what code paths you've added for debugging can definitely be security holes. Maybe for testing and verification purposes, the debug version writes the user's password out to logcat when they sign in, for example. There is a great deal of PII that could be exposed this way.

For an end user, all that you know is that it's probably more likely for an arbitrary app to leak information if it's a debug version. Unless you are searching for it yourself, you're not likely to see it. That's probably enough reason to avoid such apps xe2x80x94 doubly so since a developer who doesn't know the difference between Release and Debug versions is probably not protecting your data very competently either.

Dan Hulme also made a good point in chat: A debug version probably won't be properly signed, meaning that it could be "upgraded" from a malicious source. I would again presume this to be an unlikely occurrence, but it is another point against it.

 
 
     
     

Questions connexes

0  Malware installé avec débogage à distance  ( Malware installed with remote debugging ) 
est-il possible pour quelqu'un d'installer des APK sans vous remarquer, en utilisant le débogage à distance? (E.G. sur TCP / IP, ou sur le même réseau WiFi). ...

6  Comment prévenir Galaxy S4 de se connecter comme "connecté en tant qu'installateur" au lieu de "connecté en tant que périphérique multimédia"?  ( How to prevent galaxy s4 from connecting as connected as installer instead of ) 
J'ai mes options de développeur de Verizon Wireless Samsung Galaxy S4 activées avec le débogage USB activé. Chaque fois que je le connecte à ma machine, il af...

2  Aucune icône de débogage sur Nexus 5 avec Android 6.0.1 guimauve  ( No debug icon on nexus 5 with android 6 0 1 marshmallow ) 
Lorsque je branche le câble USB, l'icône de débogage ne s'affiche pas. Les périphériques ADB ne le voient pas. Mode développeur activé. Option de dévelop...

0  Comment puis-je activer le débogage USB sur Xperia Miro lorsque contact ne fonctionne pas?  ( How can i enable usb debugging on xperia miro when touch is not working ) 
J'ai un Xperia Miro. J'essaie de connecter la souris avec le câble OTG, mais il n'est pas capable de détecter. toucher est totalement ne fonctionne pas. C...

0  Débogage connexion WiFi sur Nexus 5x  ( Debugging wifi connection on nexus 5x ) 
Après la mise à niveau de Nexus 5 à Nexus 5X, je suis incapable de vous connecter au WiFi de mon entreprise. Les informations d'identification que je fournis ...

3  Problème avec adb sur mon Nexus 4 (téléphone non autorisé)  ( Problem with adb on my nexus 4 unauthorized phone ) 
Lorsque vous exécutez des périphériques ADB dans CMD, il est indiqué que mon téléphone est non autorisé. Il semble que cela ait quelque chose à voir avec l'in...

0  Comment faire de n'importe quelle application debommable  ( How to make any app debuggable ) 
Je travaille sur un projet où j'ai besoin de déboguer les applications existantes sur Android Android Market. Je sais en modifiant AndroidManifest.xml, nous p...

1  Déboguer un bootloop?  ( Debug a bootloop ) 
Alors je tente de porter une ROM GSM à CDMA, et c'est dans une coffre-chaussée. J'aimerais savoir comment comprendre comment voir ce qui fait exactement les f...

-2  Le test dans l'appareil Android réduira-t-il sa vie? [dupliquer]  ( Does testing in android device will reduce its life ) 
Cette question a déjà des réponses ici : CHARGEMENT Constant Dommage mon téléphone portable Android?...

1  Comment accéder à la console de navigateur sur Opera Mobile sur Android?  ( How can i access the browser console on opera mobile on android ) 
Comment puis-je accéder à la console du navigateur sur Opera Mobile sur Android ? console de navigateur = Quelque chose de similaire à la fenêtre de la con...




© 2022 www.demandez.top All Rights Reserved. Questions et réponses Accueil Tous les droits sont réservés