8 votes

Milner avatar

Quelles sont les implications en matière de sécurité de l'utilisation d'une application construite "pour le débogage" ?

Demandé el 24 de Mars, 2016
Quand la question a-t-elle été
705 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens de tomber sur plusieurs .apk hébergés par des projets Github qui sont "compilés pour le débogage" (c'est-à-dire qui ont application-debuggable que l'on peut par exemple vérifier en utilisant aapt dump badging /path/to/apk | grep debuggable . N'étant pas un développeur Android, je n'ai qu'une vague idée de ce à quoi cela sert (débogage étendu via ADB) - mais ce n'est pas la question ici.

Ma question vient d'un pure perspective de l'utilisateur final : Quelles sont les implications (de sécurité) de l'installation/utilisation d'une telle application ? Quels sont les risques dont il faut être conscient ?

Bien sûr, j'ai cherché sur le web des indications à ce sujet, mais je n'ai obtenu que des indications vagues comme "tu ne dois pas" et "pour une version, cela devrait être désactivé" - sans raison, sans contexte. Pour cela, on pourrait penser "évidemment pas de problème" - mais des notes comme Prenez le temps de réfléchir aux implications de la sécurité pour vos utilisateurs. dans ce contexte (voir cette réponse à SO) suggèrent le contraire.

Quelqu'un ici peut-il nous éclairer ?

Demandé el 24 de Mars, 2016 par Milner

Réponse

Trop de publicités?

5voto

Matthew Read avatar
Matthew Read Points 50150

Il n'y a pas vraiment inné problèmes avec l'exécution d'une application de débogage. Si quelqu'un s'empare de votre téléphone déverrouillé, active le mode développeur et commence à déboguer, il pourrait être en mesure de saisir des informations sensibles de la mémoire de l'application un peu plus facilement - mais ce n'est pas particulièrement réaliste et facilement contré par un écran de verrouillage.

Les informations de débogage rendront également plus difficile l'utilisation de la sécurité par l'obscurité, qui, nous le savons tous, n'est pas une véritable sécurité. Ce facteur n'entre évidemment pas en ligne de compte lorsqu'il s'agit d'applications à code source ouvert, puisqu'il suffit d'inspecter la source pour trouver une faille.

Cependant, les spécificités des chemins de code que vous avez ajoutés pour le débogage peuvent certainement constituer des failles de sécurité. Peut-être qu'à des fins de test et de vérification, la version de débogage écrit le mot de passe de l'utilisateur dans logcat lorsqu'il se connecte, par exemple. Une grande quantité de PII pourrait être exposée de cette façon.

Pour un utilisateur final, tout ce que vous savez, c'est que c'est probablement plus probable pour une application arbitraire de fuir des informations si c'est une version de débogage. À moins que vous ne le recherchiez vous-même, il est peu probable que vous le voyiez. C'est une raison suffisante pour éviter de telles applications, d'autant plus qu'un développeur qui ne connaît pas la différence entre les versions Release et Debug ne protège probablement pas non plus vos données de manière très compétente.

Dan Hulme aussi a soulevé un bon point dans le chat : Une version de débogage ne sera probablement pas correctement signée, ce qui signifie qu'elle pourrait être "mise à niveau" à partir d'une source malveillante. Je présume que ce cas de figure est peu probable, mais c'est un autre point négatif.

Répondu el 24 de Mars, 2016 par Matthew Read (50150 Points )

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X