[Flug] slide Android Security (Linux Day 2012)
Igor Falcomata'
koba@cioccolatai.it
Lun 12 Nov 2012 18:31:49 CET
On Thu, Nov 08, 2012 at 11:10:58PM +0100, Federico Bruni wrote:
> Sul sito non ho visto nessuna slide... quando le mettete?
Ups.. promesse da flu^H^H^Hmarinaio.. ORA vedo di attivarmi.. poi per
quelle di PerlA, non so se riuscira' ad inviare dalle Cayman.. vediamo..
> Mi piacerebbe rivedere le slide di Koba, perché oggi ho installato
> Cyanogenmod sul telefono e vorrei ritrovare un po' di link sul tema
> sicurezza.
> Mi pare che i problemi fossero di due tipi:
>
> 1 - root access
> Però dalla versione 9 si può disabilitare:
> http://techhamlet.com/2012/08/cyanogenmod-disable-root-access/
Buono a sapersi.. controllerei pero' l'elenco dei setuid, altrimenti
non e' che la situazione migliora..
find / -type f -perm +4000
> 2 - firma dei pacchetti
> Se non ricordo male, Koba ci ha spiegato che applicazioni come
> f-droid sono esposte ad attacchi "man on the middle" perché i
> pacchetti non sono firmati (dunque meglio usare Google Play). Cosa
> mi dite allora di questi due link?
>
> http://f-droid.org/wiki/page/FAQ_-_General#Is_your_building_and_signing_process_secure.3F
> http://f-droid.org/manual/html_node/Signing.html#Signing
Ho dato un'occhiata al volo, suppongo che il tutto sia applicabile se si
utilizza il client f-droid (che per altro permette anche di verificare
eventuali pacchetti da aggiornare & co). Stiamo parlando di un
meccanismo di verifica dei pacchetti _differente_ rispetto a quello
nativo di google, ma sicuramente da utilizzare per evitare di installare
pacchetti troiani & co.
bye,
K.
Maggiori informazioni sulla lista
flug