ENISA (la Agencia Europea de Seguridad de la Información), que es una agencia de la UE para redes y seguridad de la información, ha propuesto una medida de cinco pasos para proteger a los usuarios de smartphones de malware (software que están diseñados para robar datos de usuario y daños al dispositivo del usuario) mientras que la descarga de una aplicación.
A continuación se muestran los cinco pasos que la agencia ha propuesto, y estamos totalmente de acuerdo con ellos en relación con estos pasos. El problema es que es para las tiendas de la aplicación para decidir si elegir o ignoran estas sugerencias. Pero a medida que un usuario puede utilizar estas sugerencias para ser más seguro.
Revisión de la aplicación: Appstores debe revisar las aplicaciones antes de admitirlos. Mientras que la revisión de la aplicación no puede ser perfecto, que limita las posibilidades de los desarrolladores de aplicaciones para introducir aplicaciones maliciosas, o legítima, pero la inseguridad en las tiendas de aplicaciones. La aplicación puede comprobar las aplicaciones con herramientas automáticas de análisis (estático y dinámico). Además humanos (manual) el examen se puede utilizar. Mientras que la escalabilidad es un problema con la revisión humana, esto podría ser dirigida por centrarse en la funcionalidad sensible y mediante el uso de procedimientos de escalamiento.
Mecanismo de Reputación: La reputación de las aplicaciones y los desarrolladores de aplicaciones pueden ayudar a los usuarios a evitar malware. Las tiendas de aplicaciones debe mostrar la reputación de las aplicaciones y los desarrolladores de aplicaciones. De segundo orden, los mecanismos pueden aumentar la calidad de la reputación. Las tiendas de aplicaciones podría tener en cuenta la reputación de la misma aplicación en otras tiendas de aplicaciones. Un punto de preocupación es que la mayoría de aplicaciones de los usuarios la tasa por su funcionalidad y no por su seguridad, por lo que debe ser un canal separado para cuestiones de seguridad y privacidad (por ejemplo, “esta aplicación funciona, pero para los privilegios excesivos a instalar “).
Revocación de la aplicación (alias kill-switch): las plataformas de Smartphone deben apoyar la eliminación remota de aplicaciones instaladas en las tiendas de aplicaciones. Las tiendas de aplicaciones deben tener un mecanismo de revocación de la aplicación para las aplicaciones de malware y la inseguridad. En casos especiales, por ejemplo cuando el malware se escapa de la caja de arena de la aplicación, puede ser necesario el uso de herramientas personalizadas de la eliminación.
Seguridad del dispositivo: defensas App Store se basan en la seguridad de los dispositivos que ejecutan las aplicaciones. El dispositivo se debe instalar y ejecutar aplicaciones en cajas de arena, para reducir el impacto de malware. En el recinto de seguridad, las aplicaciones deberían obtener solamente un conjunto mínimo de privilegios (el principio de mínimo privilegio). El recinto de seguridad deben vigilar la aplicación en su interior y permitir al usuario ver la actividad del pasado de la aplicación. La revocación de la aplicación debe desinstalar la aplicación y devolver el dispositivo a un estado de pre-instalación.
Cárceles (o espacios protegidos): los vendedores pueden restringir los teléfonos inteligentes para aplicaciones de una o más tiendas de aplicaciones designadas y de esta manera evitar los ataques drive-by download. Esto se conoce comúnmente como una cárcel o un jardín.
Reporte completo:
“The five lines of defence” to secure app stores from malware: app review, reputation, kill-switches, device security & jails identified in new Agency report.
New report: App-store security– the 'five lines of defence'
The Agency today publishes a new report on app-store security where it advocates for a baseline set of ‘five lines of defence ‘ against malware
Starting from a threat model for app-stores, the paper identifies what it calls “the five lines of defence” that must be in place to secure app stores from malware: app review, reputation, kill-switches, device security and jails. “This report provides a very practical and technical analysis of malware threats for app-stores in under 20 pages. The Agency has made an excellent choice of security techniques, and the recommendations are ready-to-use,” says Raoul Chiesa, an Italian ethical hacker and cybersecurity expert.
Without overlooking the differences between the various smartphone models and app-stores, ENISA recommends an industry-wide approach to addressing insecure and malicious apps. “The number of malware attacks direct at smartphones still pales in comparison to PCs. This paper is a blueprint for how to maintain this head-start and address security across app-stores." says Professor Udo Helmbrecht, Executive Director of ENISA.
For full report
Without overlooking the differences between the various smartphone models and app-stores, ENISA recommends an industry-wide approach to addressing insecure and malicious apps. “The number of malware attacks direct at smartphones still pales in comparison to PCs. This paper is a blueprint for how to maintain this head-start and address security across app-stores." says Professor Udo Helmbrecht, Executive Director of ENISA.
For full report
No hay comentarios:
Publicar un comentario