MiReal.me MiReal.me – Tu blog tecnológico con la más actualizada información
Publicado por Bessie Jiang – Ingeniera de software y Chris Schneider – Ingeniero de seguridad
Colaboradores: Maciej Szawłowski – Ingeniero de seguridad, Hannah Barnes – Directora de programas técnicos, Dirk Göhmann – Redactor técnico, Patrick Mutchler – Ingeniero de software
La seguridad es complicada, pero fundamental para proteger a sus usuarios y sus datos. Estamos aquí para ayudarlo a crear aplicaciones de Android seguras con menos vulnerabilidades para un ecosistema de Android aún más seguro para todos.
Detección de vulnerabilidades: cómo funciona
Actualmente, Google analiza todas las aplicaciones de Google Play en busca de docenas de clases comunes de vulnerabilidades de seguridad. Si detectamos algo, te lo haremos saber para que puedas solucionar el problema. Imagine un equipo de pentesting que busca errores en cada una de las millones de aplicaciones publicadas en Play, eliminando problemas como configuraciones TLS incorrectas que exponen el tráfico de red o vulnerabilidades de cruce de directorios que permiten a los adversarios leer o escribir en archivos privados de una aplicación.
Estamos comprometidos a proteger a nuestros usuarios mutuos. En casos graves, si no se resuelve una vulnerabilidad de seguridad, Google puede eliminar la aplicación de Google Play para proteger a los usuarios.
Base de conocimientos de seguridad de aplicaciones de Android
Sabemos que simplemente notificarle sobre una vulnerabilidad en su aplicación no siempre es suficiente; necesita saber cómo solucionar el problema y cómo evitar que problemas similares se repitan en el futuro. Con este fin, presentamos nuestras pautas y recomendaciones de seguridad como parte de un nuevo programa: Base de conocimientos de seguridad de aplicaciones de Android (AAKB).
AAKB tiene como objetivo establecer pautas para escribir software seguro para Android. Es un repositorio de problemas de código comunes, con ejemplos de soluciones alternativas y explicaciones para implementar patrones de código específicos. De naturaleza orgánica, los nuevos problemas se identifican automáticamente para su revisión con expertos de toda la industria, lo que garantiza enfoques y directrices amplios pero bien probados.
Los datos recopilados de su interacción con AAKB se utilizan para mejorar las pautas e identificar cómo hacer que el ecosistema de Android sea más seguro de forma predeterminada.
¿Como funciona?
AAKB establece una guía clara y verificada con ejemplos de código. La guía está alineada con MASVS OWASP Los estándares y el contenido se revisan en colaboración con colegas técnicos, como microsoft. Esto ayuda a garantizar que el contenido no esté sesgado hacia una de las partes y represente estándares de vanguardia. Esto también proporciona un lugar educativo donde puede remediar proactivamente los riesgos de seguridad en sus aplicaciones utilizando estándares de la industria, con acceso directo a conocimiento experto en la materia.
La ayuda está disponible a través de dos mecanismos:
La página de inicio de AAKB enumera cada artículo de forma independiente, alineado con la categoría OWASP MASVS relevante (p. ej. MASVS-ARCHIVO). Cualquiera puede ver o proporcionar comentarios directos sobre este contenido. La seguridad es un campo en constante evolución y la capacidad de actualizar las pautas sobre la marcha significa que los ciclos de vida de desarrollo de software se pueden actualizar dinámicamente con la menor fricción posible.
Android Studio activa la ayuda para corregir los controles de pelusa apuntando directamente a los artículos de AAKB. Puede solucionar problemas mientras crea la aplicación y antes de que lleguen a los usuarios.
Hay dos métodos para ver las instrucciones de reparación con Android Studio:
Las descripciones de los controles de seguridad existentes en Android Studio Giraffe+ se han actualizado para incluir un enlace al artículo relevante de AAKB, lo que le permite obtener más contexto sobre por qué un fragmento de código en particular podría estar “en riesgo”.
Figura 1. Ejemplo de un resultado con un enlace a un artículo relevante de AAKB en el IDE de Android Studio
Mientras tanto, las comprobaciones de pelusa de código abierto de Android Security le brindan acceso a nuestras pautas y experimentos más recientes para proteger aún más sus aplicaciones móviles y evitar futuros problemas de seguridad.
Agregue los controles de código abierto a su proyecto siguiendo las instrucciones LEEMETodos estos controles de pelusa contienen funciones de hacer clic para corregir que facilitan la escritura de código más seguro con el mínimo esfuerzo, así como enlaces a artículos relevantes de AAKB, como controles IDE integrados.
Figura 2. Ejemplo de detección de pelusas de seguridad de código abierto, destacando un fragmento de código vulnerable y una solución de reparación mediante clic
Todos los controles de pelusa IDE integrados se pueden encontrar en esta listaMuchos de ellos en la categoría Seguridad contienen enlaces a artículos relevantes de la AAKB. Nos encantaría saber de usted comentarios y sugerencias para nuevos controles de pelusa y otras mejoras a la biblioteca de pelusa de código abierto.
