Ennyit arról, hogy mennyire biztonságos az App Store

Ennyit arról, hogy mennyire biztonságos az App Store

... Épp ezért kellemetlen, hogy a megbízható alkalmazásforrásként népszerűsített App Store-on keresztül tudták terjeszteni kiberbűnözők a világ egyik legnagyobb, független felhőalapú jelszókezelő szolgáltatójaként ismert LastPass alkalmazásának másolatát. A népszerű szolgáltatás nevével és arculatával visszaélő „LassPass” app azóta eltűnt az App Store kínálatából, de egy másik alkalmazás még fellelhető ugyanazon fejlesztőktől.

Hozzászólások

Szerkesztve: 2024. 02. 10., szo – 22:20

És azt még gyorsan tegyük hozzá, hogy pontosan ugyanez éppúgy igaz a Google Play-re meg a Microsoft Store-ra is... Minden profitéhes cég által üzemeltetett áruház ilyen. Mindet "megbízható"-nak reklámozzák, de mindnél fontosabb az, hogy pénzé' minné' többet tőccsenek le a parasztok, így igazából szarnak a biztonságra, csak a profit a fontos. Ez van.

Egy olyan áruház, ahol konkrét anyagi érdek fűződik a letöltések számának feltunningolásához, na az sosem lesz megbízható, de mégis annak fogják mindig is reklámozni.

nem az a gond hogy masoknal is szar. hanem apple nagypofaval hirdette hogy "a kulsoforras azert nemjo otlet, mert onnan aztan konnyu hackolt appot feltenni. de a appstore az a megtestesult top biztonsag!!". aztan most pofon hogy megse annyira biztonsagos, es ott is becsuszhat fos.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Számodra. Az átlag Józsikától ne várd el, hogy minden apróságot észrevegyenek.

Egyébként az 1 vs pármillióra:
https://www.securityweek.com/mysterious-apple-soc-feature-leveraged-to-…

 

Ha lemaradtál volna :) Az az "1" elég komoly 1, amit nyilvánvalóan csak "véletlenül" felejtettek benne a SoC-ban és csak "debuggolási" célokra használták.
Ha az emberenek ilyen barátai vannak, nem is kell Kínára mutogatni komolyabb kémkedési botrány miatt...
De ha szeretnéd tudni milyen készülékeket használtak Merkelék amikor lehallgatta őket az USA kormánya (de csak barátilag ;) ), akkor nyugodtan nézz körül.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Így van. Egyik ilyen Store sem teljesen biztonságos, de még mindig jobbak, mint szutykokat random weboldalakról letöltögetni, összevadászni. A store-oknál, tárolóknál legalább ha valami szutyok kerül fel, azt a userbase elég rövid időn belül jelenti, és szanálják.

The world runs on Excel spreadsheets. (Dylan Beattie)

Szerkesztve: 2024. 02. 10., szo – 23:44

bezzeg a google!!!

https://index.hu/tech/cellanaplo/2023/10/29/android-alkalmazas-google-p…

https://index.hu/techtud/2024/01/08/virus-google-play-applikacio-alkalm…

https://index.hu/tech/cellanaplo/2024/02/10/google-play-trojai-virus-ti…

Több éven keresztül elérhetők voltak a Google alkalmazásboltjában, a Play Áruházban azok az appok, amelyeket most az ESET kiberbiztonsági vállalat kutatóinak hála végre kitiltottak a platformról.

Nagy kulonbseg, hogy eddig nem is lehetett az AAPL-n 3rd party open source store, es lehet, hogy a felteteleket a jovoben sem fogjak teljesiteni, es nem is lesz.

Androidon meg fel tudsz tenni megbizhatobb forrasbol is programokat. A nyilt forras szerintem az. Ha nagyon paranoid vagy, ujrafordithatod, meg atnezheted, de mar anelkul is tobb, mint amit barmelyik masik nyujt.

A strange game. The only winning move is not to play. How about a nice game of chess?

Oké, de a Play-en nincs hetekig tartó szopatás és több körös magyarázkodás a változásokról, amikor kitennél új verziót. Feltolod, lemegy rajta pár automatikus teszt és kinn van. Tudjuk, hogy ilyen, a Google nem is mondja, hogy a Play nagyon biztonságos és a telefonon sincs lekorlátozva, hogy bárhonnan telepíts bármit, amit csak akarsz, a magad ura vagy, aminek vannak kockázatai.

A kérdés itt az, hogy mennyit ér a valóságban az Apple review process, ha ilyenek keresztülmennek rajta gond nélkül.

Oké, de a Play-en nincs hetekig tartó szopatás és több körös magyarázkodás a változásokról, amikor kitennél új verziót.

Ja, nincs, ott másfajta szopatás megy. Ott indoklás nélkül eltávolítják, ami nem eléggé profitáló, aztán ha reklamálni próbálsz, bannolnak egy életre.

Itt van pár panaszkodó fórumozó, és a hozzászólásokban elég sokan rákontráznak (a minta nem reprezentatív, csak egy gyors keresés eredménye, és olyan jól ismert nevek is szerepelnek rajta, mint pl. a KDE):
https://news.ycombinator.com/item?id=39201178
https://news.ycombinator.com/item?id=22840524
https://news.ycombinator.com/item?id=8468766
https://news.ycombinator.com/item?id=26965146
https://news.ycombinator.com/item?id=31112593
https://news.ycombinator.com/item?id=36074646
https://news.ycombinator.com/item?id=30303340
https://news.ycombinator.com/item?id=33038311
https://news.ycombinator.com/item?id=29967404
https://news.ycombinator.com/item?id=28172490
https://news.ycombinator.com/item?id=19429193

A malware-ket bezzeg nem távolítják el ilyen bőszen, mint a FOSS alkalmazásokat, mert azok nagy forgalmat és bevételt generálnak nekik:
https://www.tomsguide.com/computing/malware-adware/malicious-messaging-…
https://www.pcmag.com/news/36-malicious-android-apps-found-on-google-pl…
https://www.zdnet.com/article/google-play-malware-if-youve-downloaded-t…
https://www.zdnet.com/article/android-warning-these-malicious-apps-had-…
https://www.bleepingcomputer.com/news/security/more-android-apps-riddle…
https://usa.kaspersky.com/blog/malware-in-google-play-2023/29356/

(Figyeljük meg, hogy ezeknél a malware-knél mindig az van, hogy a FELHASZNÁLÓ felelőssége, hogy törölje a telójáról, sosincs szó arról, hogy a Google törölte volna őket a Store-ból)

Maximum kiadnak egy közleményt egy eldugott issue válaszában, amit úgysem olvas senki:
https://support.google.com/accounts/answer/9924802?hl=en&co=GENIE.Platf…

De ebben is csak az van, hogy a FELHASZNÁLÓ felelőssége, hogy törölje a telójáról, mintha a Google nem is lenne képes eltávolítani központilag, mint ahogy a FOSS alkalmazásokkal teszi...

és a telefonon sincs lekorlátozva, hogy bárhonnan telepíts bármit, amit csak akarsz

Dehogy nincs. Oké, hogy egy kis mágikus kántálással Developer Mode-ba kapcsolhatod, de szerinted hány átlagos felhasználó képes erre?

Ja, meg kell felelni formális dolgoknak, nekem 2009 óta elég sok alkalmazásom van publikálva saját néven vagy projekmunkában adott cég fiókjában, egyet nem szedtek le még, időnként kapok levelet, hogy ez-vagy-az nem felel meg az aktuális policy-nak, javítsam, javítom és megy tovább minden.

Három dologra szoktak nagyon harapni:

1, ha kikerülöd az in-app fizetési rendszerüket

2, ha a privacy policy nem felel meg a kívánalmaknak

3, ha felhasználói adatok mozognak a privacy policy-ban leírtakon kívül.

Nem néztem végig az összes dolgot, amit linkeltél, de szúrópróba-szerűen mindegyik beleesett ezekbe.

Viszont: ezeket is tudod terjeszteni Play-en kívül és a Google akkor pláne szarik rá.

Dehogy nincs. Oké, hogy egy kis mágikus kántálással Developer Mode-ba kapcsolhatod, de szerinted hány átlagos felhasználó képes erre?

Az Apps alatt ott van a Special app access és ott az Install unknown apps. Ha telepítenél apk-t, akkor a felugró ablak "Settings" gombja ide visz. Legjobb tudomásom szerint nem kell hozzá Developer Mode, de ha kell is, az se komplexebb.

Nem néztem végig az összes dolgot, amit linkeltél, de szúrópróba-szerűen mindegyik beleesett ezekbe.

Nem mind. Rengeteg olyan panasz van, hogy csak egy sablonlevelet kaptak, amiben annyi áll, "megsértetted a policy-t", de azt nem árulják el, hogy mivel és melyik pontját. Úgy meg elég nehéz kijavítani bármit, ha nem is tudod, hogy mit kéne kijavítani... Ráadásul úgy tűnik, ez a policy izé a default válaszuk mindig, akkor is, ha csak nincs rajtad sapka.

3, ha felhasználói adatok mozognak a privacy policy-ban leírtakon kívül.

Ez kifejezetten tetszik! Tudsz mondani egy olyan saját Google alkalmazást, ami nem sérti meg ezt a pontot? :-D :-D :-D

No mind1, engem nem érint, és nem is fog, mert nem vagyok hajlandó lefeküdni ezeknek, inkább messze elkerülöm a mobilos alkalmazásfejlesztést, meghagyom azt a hanyatló Z-generáció ópiumának. Csak arra akartam utalni, hogy az Apple nem kivétel, az összes többi profitorientált szoftveráruház is épp ugyanolyan szar és épp ugyanúgy tele van jól fizető malware-kkel, miközben azokat is rengeteg marketing bullshittel reklámozzák, amik éppúgy hazugságok, akárcsak az Apple esetében.

Nem mind. Rengeteg olyan panasz van, hogy csak egy sablonlevelet kaptak, amiben annyi áll, "megsértetted a policy-t", de azt nem árulják el, hogy mivel és melyik pontját.

Megmondják, melyik policy, általában igen könnyű kitalálni. Te amúgy mennyi alkalmazást toltál fel a Play-re és mennyit kezelsz most?

Ez kifejezetten tetszik! Tudsz mondani egy olyan saját Google alkalmazást, ami nem sérti meg ezt a pontot? :-D :-D :-D

Ami megsérti a policy-t? Egyet se. Le van írva, hogy mi mindent fognak gyűjteni.

No mind1, engem nem érint, és nem is fog, mert nem vagyok hajlandó lefeküdni ezeknek, inkább messze elkerülöm a mobilos alkalmazásfejlesztést, meghagyom azt a hanyatló Z-generáció ópiumának.

Ah, jól sejtettem, hogy közel nulla tapasztalatod van a téren és balfaszok panaszkodós fórumposztjai alapján hozod meg az értékítéletedet.

Biztos valaki megkegyelmezett az appnak es igy bekerult a store-ba.

Két dolog erodálja az ilyen nagy store-ok minőségét, de ezt sosem fogják beismerni, mert a pénz fontosabb (amit azért nem értek igazán, mert mindkét nagy cég szinte végtelen pénztömegen ül): az outsourcing és az AI. A false pozitív kisebb probléma, mert ránéz egy mérnök és továbbengedi. Amire viszont ezek nem raknak rá egy flaget, simán átcsúszik.

Mikor igy kezdesz valamit, hogy "ennyit errol", jusson eszedbe, hogy altalanositasz, 1-1 eset alapjan. Vagyis dezinformaciot terjesztesz. Ez egyreszt elfogult, szuklatokoru, masreszt akar perelheto is.

IMHO ne csinald.