Appstore Security: 5 Γραμμές Άμυνας απέναντι στα malware

Ο ENISA με μια πρόσφατη μελέτη του ορίζει πέντε διαφορετικές γραμμές άμυνας, οι οποίες αν εφαρμοστούν μπορούν να βοηθήσουν στην αποφυγή εισαγωγής κακόβουλου λογισμικού στα smartphones.
Η αγορά των smartphones αυξάνεται γοργά, τόσο σε ποικιλία όσο και σε αριθμό πωλήσεων και αναμένεται το 2013 να έχει ξεπεράσει τις πωλήσεις των PCs. Ο μέσος χρήστης χρησιμοποιεί συχνά τη συσκευή του για να περιηγηθεί στο internet και την εμπλουτίζει με πλήθος από εφαρμογές, ώστε να την καταστήσει πιο αποδοτική για τις ανάγκες του. Για αυτόν το λόγο δημιουργήθηκαν και τα επονομαζόμενα appstores, όπως το Apple appstore και το Google Android appstore, που φιλοξενούν εκατοντάδες χιλιάδες εφαρμογές από τρίτους κατασκευαστές και τις διανέμουν προς τους καταναλωτές.

Όπως ήταν φυσικό, οι εφαρμογές δεν έμειναν στο απυρόβλητο των διαδικτυακών επιθέσεων. Αν μάλιστα αναλογιστούμε το πλήθος των ευαίσθητων προσωπικών δεδομένων που περιέχει ένα κινητό τηλέφωνο, τότε εύκολα αντιλαμβανόμαστε το έντονο ενδιαφέρον πρόσβασης σε κάθε συσκευή. Για παράδειγμα, το 2010 βρέθηκε dialware πρόγραμμα σε appstore των Windows Phone και το 2011 αναγνωρίστηκε κακόβουλο λογισμικό ως δημοφιλής εφαρμογή σε android appstore, που μόλυνε χιλιάδες συσκευές.

Με γνώμονα τα ανωτέρω, o ENISA το Σεπτέμβριο του 2011 εξέδωσε μία μελέτη σε σχέση με την ασφάλεια που παρέχεται από τα appstores, καθορίζοντας τις πέντε βασικές γραμμές άμυνας ενάντια στο κακόβουλο λογισμικό με στόχο την προστασία του τελικού χρήστη. Οι γραμμές αυτές είναι:

1. Η λεπτομερής εξέταση της εφαρμογής προτού αναρτηθεί στο appstore.
2. Ο καθορισμός της φήμης τόσο της εφαρμογής όσο και του δημιουργού της.
3. Η δυνατότητα πλήρους ανάκλησης της εφαρμογής.
4. Η λειτουργία της εφαρμογής σε περιορισμένο χώρο στη συσκευή.
5. Η δυνατότητα του κατασκευαστή της συσκευής να απαγορεύσει την επικοινωνία με επικίνδυνα appstores.

Ένα καλά οργανωμένο appstore πρέπει να προσφέρει σημαντικά στην αποφυγή διανομής ή στη μείωση του αντίκτυπου ενός κακόβουλου προγράμματος, μιας και παρατηρείται ότι οι επιθέσεις αυξάνονται με στόχο είτε την απευθείας διανομή επισφαλών εφαρμογών είτε την παράνομη ενσωμάτωση κώδικα, που εκμεταλλεύεται τα τρωτά σημεία δημοφιλών εφαρμογών ή των ίδιων των συσκευών. Το πρόβλημα στην αντιμετώπισή τους εντείνεται λόγω της ποικιλίας των πλατφόρμων λειτουργίας των smartphones, των διαφορετικών appstores και του ιδιαίτερου τρόπου επικοινωνίας που υιοθετεί το καθένα για να επικοινωνήσει με το χρήστη, συμβάλλοντας έτσι σε μια γενικότερη σύγχυση που εκμεταλλεύονται οι επιτιθέμενοι.
Γι’ αυτόν το λόγο ο χρήστης πρέπει να λαμβάνει σαφή πληροφορία για την εφαρμογή που επιλέγει και για το δημιουργό της, τα appstores πρέπει να ανταλλάσσουν πληροφορίες για τις δημοφιλείς και τις επισφαλείς εφαρμογές που φιλοξενούν και οι υπεύθυνοι ασφάλειας πρέπει να διαμοιράζουν τις πρακτικές που χρησιμοποιούν με τα αντίστοιχα στελέχη των υπόλοιπων appstores. Ακολουθεί μια ανάλυση των πιο κοινών απειλών και του τρόπου που αυτές οι πέντε βασικές γραμμές άμυνας εφαρμόζονται στην πραγματικότητα.

Γενικά
Τα appstores βρίσκονται σε πληθώρα και καθένα εξυπηρετεί ένα κομμάτι του αγοραστικού κοινού, αναλόγως της πλατφόρμας που χρησιμοποιεί ο τελικός χρήστης. Έτσι, εκτός από τα πολύ γνωστά Apple Appstore και Google Android Market, υπάρχουν το Amazon Appstore που φιλοξενεί εφαρμογές android, το appstore της Microsoft για Windows Mobile smartphones, το appstore της Nokia για Symbian smartphones, ενώ κάποιες εταιρείες- Οργανισμοί δημιούργησαν τα δικά τους appstores για την εξυπηρέτηση των υπαλλήλων τους. Επίσης, εκτός από τα smartphones των appstores υπάρχουν και ποικίλα appstores για τις σελίδες κοινωνικής δικτύωσης (facebook), για εταιρικές cloud υπηρεσίες (google apps), για την αναβάθμιση των browsers (Mozilla’s addons) κ.ά.
Λόγω λοιπόν της ποικιλίας που υπάρχει, υιοθετήθηκε ο όρος «app-ecosystem» (το οικοσύστημα της εφαρμογής, εικόνα 1) και αναφέρεται σε συγκεκριμένη πλατφόρμα κάθε φορά.

Σ’ ένα «app-ecosystem» ανήκουν οι δημιουργοί των εφαρμογών, η πλατφόρμα που τις υποστηρίζει, ο τρόπος διανομής ή πώλησής τους καθώς και ο τελικός χρήστης. Λειτουργικά στο οικοσύστημα ένας προγραμματιστής δημιουργεί ένα λογισμικό (εφαρμογή), με στόχο τη βελτίωση των δυνατοτήτων της συσκευής του χρήστη. Το appstore λαμβάνει την εφαρμογή και την προωθεί προς τους χρήστες – είτε δωρεάν είτε μέσω πληρωμής – διαδραματίζοντας το ρόλο του μεσάζοντα. Τέλος παρέχει πληροφορίες για τον αριθμό των λήψεων που έχει η εφαρμογή και φιλοξενεί τα σχόλια των χρηστών και τις ψήφους εμπιστοσύνης που έχουν δώσει, τόσο στην εφαρμογή όσο και στο δημιουργό της και έτσι διαμορφώνεται η φήμη της εφαρμογής.

Το προφίλ του επιτιθέμενου
Ο ENISA στην παρούσα μελέτη πραγματεύθηκε επιθέσεις που αφορούν στον τελικό χρήστη και όχι επιθέσεις προς τους προγραμματιστές των εφαρμογών ή τα appstores που δεν έχουν αντίκτυπο στο χρήστη (click – απάτη, λογοκλοπή, αθέμιτος ανταγωνισμός). Βασική λοιπόν υπόθεση είναι ότι ο στόχος είναι ο χρήστης – καταναλωτής ή ο επιχειρηματίας στον ιδιωτικό ή δημόσιο τομέα, που λαμβάνει εφαρμογές μέσω appstores και γίνεται θύμα εισαγωγής κακόβουλου λογισμικού στη συσκευή του. Επίσης δεν υπάρχει διαφοροποίηση μεταξύ του αυθύπαρκτου κακόβουλου λογισμικού και αυτού που βασίζεται σε εφαρμογές τρίτων. Τέλος αγνοούνται οι επιθέσεις social engineering που ο χρήστης καθοδηγείται να διαμορφώσει επισφαλώς – μία κατά τα άλλα ασφαλής εφαρμογή – αγνοώντας τις αρχικές ρυθμίσεις ασφάλειας που εισάγει η τελευταία στη συσκευή του.

Οι επιτιθέμενοι έχουν δύο βασικούς ενδιάμεσους στόχους:

1. Να εισάγουν το κακόβουλο λογισμικό στη συσκευή του χρήστη και εκεί να καταστεί λειτουργικό.
2. Να διατηρήσουν αυτό το λογισμικό στη συσκευή.

Μιας και στα smartphones υπάρχουν δύο διαφορετικά επίπεδα λογισμικού, αυτό του λειτουργικού συστήματος (O.S = Operating System) και αυτό των εφαρμογών, οι επιθέσεις κακόβουλου λογισμικού κατηγοριοποιούνται ως εξής:

• Πώληση ή διανομή κακόβουλης εφαρμογής.
• Εκμετάλλευση των τρωτών σημείων δημοφιλών εφαρμογών.
• Πώληση ή διανομή κακόβουλου O.S.
• Εκμετάλλευση των τρωτών σημείων των O.S.

STRIDE Απειλές
Η ανάλυση των απειλών κατά STRIDE χωρίζει τις επιθέσεις σε 6 κατηγορίες, σύμφωνα με το μοντέλο του «app-ecosystem» (Εικόνα 2):

• Spoofing (παραπλάνηση): απειλή κατά την οποία μία διεργασία προσποιείται ότι είναι κάτι άλλο από αυτό που πραγματικά είναι.
• Tampering (αλλοίωση): απειλή όπου μία διεργασία ή ροή δεδομένων, αλλοιώνεται ως προς τη δομή και το περιεχόμενό της.
• Repudiation (αποκήρυξη): απειλή κατά την οποία οι αποδείξεις (τα ίχνη) τέλεσης μιας διεργασίας ή της παρέμβασης τρίτου στη συσκευή, εξαφανίζονται.
• Information disclosure (αποκάλυψη πληροφοριών): απειλή κατά την οποία δημοσιοποιούνται ευαίσθητα προσωπικά δεδομένα του χρήστη.
• Denial of Service (άρνηση εξυπηρέτησης): απειλή κατά την οποία εκφυλίζεται η απόδοση μιας διεργασίας ή μιας επικοινωνίας, λόγω πολλαπλών στοχευόμενων αιτημάτων εξυπηρέτησης που δεν αντιστοιχούν σε πραγματικούς χρήστες.
• Elevation of Privilege (αύξηση προνομίων): απειλή όπου μία διεργασία εκτελεί μη εξουσιοδοτημένες ενέργειες.

Γραμμές άμυνας
Για να αποσαφηνιστούν οι τομείς στους οποίους πρέπει να επικεντρωθεί η οργανωμένη άμυνα απέναντι στο κακόβουλο λογισμικό, δημιουργήθηκε το «δέντρο της επίθεσης» (Εικόνα 3). Στους κόμβους κορυφής βρίσκονται οι προαναφερόμενοι υψηλότεροι τεχνικοί στόχοι που θέτουν οι επιτιθέμενοι και ακολουθούν οι επιμέρους στόχοι. Κάθε στόχος για να επιτευχθεί πρέπει να στεφθούν με επιτυχία όλοι οι υποστόχοι που συνδέονται με αυτόν μέσω βέλους. Στη βάση του δέντρου βρίσκονται οι απειλές, όπως αυτές ορίστηκαν στην STRIDE ανάλυση.

Ο ENISA ορίζει πέντε διαφορετικές γραμμές άμυνας, οι οποίες αν εφαρμοστούν μπορούν να βοηθήσουν στην αποφυγή εισαγωγής κακόβουλου λογισμικού στις συσκευές των χρηστών.

Αναλυτικά, ορίζει τα εξής:

1. Επιθεώρηση Εφαρμογής – App Review (A): το πρώτο βήμα για μια σωστή αμυντική στάση είναι τα appstores να ελέγχουν σε βάθος τις εφαρμογές που φιλοξενούν. Αν και δεν είναι δυνατό να παρέχουν 100% εγγυήσεις ασφάλειας, μπορούν να δυσχεράνουν την εισαγωγή κακόβουλου λογισμικού στο «app-ecosystem». Η επιθεώρηση διενεργείται ποικιλοτρόπως και κλιμακωτά – και όσο μεγαλύτερο είναι το επίπεδο ενασχόλησης, τόσο περισσότερο διασφαλίζεται η προστασία του χρήστη.
   • Αυτοματοποιημένα εργαλεία ανάλυσης: τέτοιου είδους εργαλεία εξετάζουν τη δυαδική πληροφορία του κώδικα, ώστε να εντοπιστεί διαφορετική συμπεριφορά από αυτή που όρισαν οι δημιουργοί της εφαρμογής, κατά την εισαγωγή της στο appstore. Επίσης, εκτός από τη στατική ανάλυση μπορούν να τελούν και δυναμική ανάλυση, εκτελώντας δοκιμαστικά την εφαρμογή για να διαπιστωθεί ανεπιθύμητη συμπεριφορά (π.χ. api calls). Τέτοια εργαλεία διαθέτει η Apple (για ιούς) και η Microsoft (το Hopper) που δοκιμάζει την εφαρμογή για ώρες προτού την αναρτήσει στο appstore.
   • Χειροκίνητη ανάλυση: συγκεκριμένες μορφές επίθεσης (spoofing) δεν εντοπίζονται από τα αυτοματοποιημένα εργαλεία, αλλά απαιτούν την προσωπική ενασχόληση ενός ειδικού με τις διεργασίες που τελεί η εφαρμογή.
   • Αυθεντικοποίηση των δημιουργών: με στόχο την αποφυγή της παραπλάνησης οι δημιουργοί των εφαρμογών πρέπει να αυθεντικοποιούνται από μια τρίτη έμπιστη αρχή, ώστε κανείς να μη μπορεί να διανείμει λογισμικό, παριστάνοντάς τους.
   • Προφίλ επικινδυνότητας: τα appstores οφείλουν να παρακολουθούν τους δημιουργούς που φιλοξενούν και να διαμορφώνουν γι’ αυτούς ένα προφίλ επικινδυνότητας. Έτσι, νεοεισαχθέντες προγραμματιστές ή προγραμματιστές που έχουν ήδη σημειώσει παραβατική συμπεριφορά, πρέπει να έχουν ειδική μεταχείριση. Επίσης η «περίεργη» συμπεριφορά ενός δημοφιλούς δημιουργού, ίσως αποτελεί ένδειξη επίθεσης (phishing).
   • Διαρκής επιθεώρηση: μία εφαρμογή δεν πρέπει να σταματήσει να ελέγχεται από τη στιγμή που αναρτάται στο appstore. Το προφίλ φήμης που αποκτά αποτελεί έναν τρόπο για τη μετέπειτα επιθεώρησή της.
   • Προτεραιότητα στις αναβαθμίσεις: μιας και κάθε κώδικας φέρει τρωτά σημεία, τα appstores πρέπει να δίνουν προτεραιότητα στην ανάρτηση των αναβαθμίσεων ήδη χρησιμοποιούμενων εφαρμογών, ώστε να περιορίζεται ο χρόνος δράσης των επιτιθέμενων.
2. Καθορισμός φήμης – Reputation Mechanism (R): ο μηχανισμός που καθορίζει πόσο δημοφιλής είναι μία εφαρμογή και ο δημιουργός της, βοηθά τους χρήστες να επιλέξουν μεταξύ των ασφαλέστερων προγραμμάτων που θα χρησιμοποιήσουν. Ομοίως και εδώ δεν παρέχονται 100% εγγυήσεις ασφάλειας, μιας και ο επιτιθέμενος μπορεί να επιδιώξει πρωτίστως να ανεβάσει το επίπεδο της φήμης του και έπειτα να εισάγει το κακόβουλο λογισμικό. Ο μηχανισμός που χρησιμοποιεί κάθε appstore βασίζεται στα ακόλουθα:
   • Καταγραφή των πληροφοριών για την εφαρμογή: ο τελικός χρήστης πρέπει να αποφασίζει για τη λήψη ή όχι μιας εφαρμογής, από τις πληροφορίες που μπορεί να αντλήσει από το appstore για την τελευταία. Πληροφορίες όπως τη φήμη της, τα στατιστικά λήψης, τη φήμη του δημιουργού της, τα σχόλια των χρηστών που την έλαβαν, τις ψήφους που έδωσαν, καθώς και τα παράπονα που κατέθεσαν.
   • Δημοφιλής σε ασφάλεια ή ιδιωτικότητα: είθισται οι χρήστες να ψηφίζουν θετικά μία εφαρμογή για το καλό επίπεδο υπηρεσιών που παρέχει και όχι για τα επίπεδα ασφάλειας που διαπίστωσαν. Έτσι τα appstores πρέπει να δίνουν τη δυνατότητα να υπάρχει ξεχωριστός τρόπος καθορισμού του επίπεδου ιδιωτικότητας και ασφάλειας που εξασφαλίζει η εφαρμογή και να τα γνωστοποιούν μέσω ενός μηχανισμού κατάταξης.
   • Μοναδικό προφίλ: δεν πρέπει να δίνεται η δυνατότητα σε ένα χρήστη ή δημιουργό να δημιουργεί πολλαπλούς λογαριασμούς, μιας και έτσι θα επέτρεπε σε κάποιον να αυξήσει από μόνος του τη δημοτικότητά του.
   • Σύστημα πόντων: το σύστημα πόντων δίνει περισσότερους βαθμούς δημοτικότητας σε εφαρμογές που ψηφίστηκαν από χρήστες, που είναι οι ίδιοι δημοφιλείς.
   • Ανωνυμία: τα σχόλια των χρηστών πρέπει να δημοσιοποιούνται ανώνυμα και τα προσωπικά δεδομένα των χρηστών να μην είναι προσβάσιμα, ώστε η διαδικασία να διέπεται από τις αρχές της ελευθερίας και να είναι ειλικρινής.
   • Ανταλλαγή πληροφοριών δημοφιλίας: αν υποστηρίζονται οι μηχανισμοί επικοινωνίας μεταξύ appstores, η υψηλή κατάταξη μιας εφαρμογής στο ένα θα πρέπει να προσμετράται θετικά στη βαθμολογία που θα λάβει στο άλλο. Τουτέστιν, για κάθε εφαρμογή θα πρέπει να υπάρχει προσωπικό αναγνωριστικό και υπογραφή που θα την καθιστά μοναδική και θα επιτρέπει τη συσχέτισή της σε οποιοδήποτε appstore και να βρίσκεται.
   • Αδειοδοτήσεις: ο χρήστης πρέπει να μπορεί δημόσια να αναφέρει το πλήθος και το είδος των αδειών που του ζητά η εφαρμογή για πρόσβαση σε πόρους ή δεδομένα, ώστε να ενημερώνεται η κοινότητα αλλά και να εντοπίζονται παράνομες δραστηριότητες που δεν έχει ενσωματώσει ο δημιουργός.
3. Ανάκληση της εφαρμογής – App revocation or Kill-switch (K): πολλά smartphones επιτρέπουν την απεγκατάσταση μιας εφαρμογής με εντολή του κατασκευαστή τους ή του appstore από το οποίο την προμηθεύτηκε ο χρήστης, αν αποδειχθεί ότι πρόκειται για κακόβουλο λογισμικό. Κατά την απεγκατάσταση πρέπει να διασφαλιστούν τα εξής:
   • Συγκατάθεση του χρήστη: όταν παρθεί απόφαση ανάκλησης, ο χρήστης πρέπει πρωτίστως να ενημερωθεί και έχει το δικαίωμα να αρνηθεί τη διαδικασία. Παράλληλα, αν τίθενται θέματα ασφάλειας όπως για π.χ. χρήση από το στρατό, ο μηχανισμός ανάκλησης πρέπει να απενεργοποιηθεί από τη συσκευή.
   • Spawning: διαδικασία με την οποία η εφαρμογή αποθηκεύει κώδικα σε μη επιτρεπόμενα μέρη στη συσκευή, που παραμένουν (ίχνη) και μετά την απεγκατάστασή της.
   • Συχνότητα αναβάθμισης: οι κατασκευαστές των smartphones πρέπει να ενθαρρύνουν τους χρήστες στη συχνή αναβάθμιση των συσκευών τους, ώστε να παρέχονται καλύτερα επίπεδα ασφάλειας. Πρέπει όμως από τη μεριά τους οι αναβαθμίσεις που εισάγουν να είναι μικρού μεγέθους, ώστε να μην αντιμετωπίζουν πρόβλημα οι χρήστες με περιορισμένο εύρος σύνδεσης ή με χρεωστική λήψη.
   • Ανίχνευση: τα σχόλια των χρηστών πρέπει να παρακολουθούνται σε βάθος για κάθε εφαρμογή, γιατί η επίθεση μπορεί να γίνει τυχαία σε ορισμένους από αυτούς και όχι στο σύνολό τους.
4. Ασφάλεια Συσκευής – Device security (D): η άμυνα που υιοθετούν τα appstores βασίζεται κυρίως σε μία σημαντική παράμετρο ασφαλείας που υπάρχει στις συσκευές. Τα λεγόμενα sandboxes, που ουσιαστικά οριοθετούν την περιοχή πρόσβασης των εφαρμογών μέσα στη συσκευή. Τα σημαντικότερα χαρακτηριστικά ασφάλειας της συσκευής είναι:
   • Υπογραφή κώδικα: η συσκευή αποδέχεται κώδικα υπογεγραμμένο μόνο από εγκεκριμένα από τους κατασκευαστές appstores.
   • Sandboxes: οι εφαρμογές εγκαθίστανται στη συσκευή σε αυστηρά οριοθετημένο χώρο, δηλαδή λειτουργούν υπό τη μορφή «απομόνωσης», ώστε να ελαχιστοποιείται ο αντίκτυπος που μπορεί να έχει ένα κακόβουλο λογισμικό που εισήχθη από το χρήστη.
   • Ελάχιστα δικαιώματα: τα δικαιώματα πρόσβασης της εφαρμογής στη συσκευή πρέπει να είναι ελάχιστα και αν απαιτείται η χρήση κάποιου επιπλέον πόρου να ζητείται η άδεια από το χρήστη – ή καλύτερα από το ίδιο το appstore κατά τη διαδικασία της αναθεώρησης, μιας και ο χρήστης δεν είναι πάντα ικανός να λάβει αποφάσεις ασφάλειας.
   • Παρακολούθηση: ο χρήστης μετά την εγκατάσταση της εφαρμογής πρέπει να έχει τη δυνατότητα να λαμβάνει αναφορές από τη συσκευή του για τις διεργασίες που τελέστηκαν, τη χρήση του δικτύου που έκανε, τη χρήση των πόρων κ.ά.
   • Clean slating: κατά την αφαίρεση μιας εφαρμογής η συσκευή πρέπει να επιστρέψει ακριβώς στην κατάσταση που βρισκόταν πριν από την εγκατάστασή της, χωρίς να μένουν κατάλοιπα.
5. Απομόνωση – Jails or wall gardens (J): οι κατασκευαστές των smartphones πρέπει να μπορούν να απαγορεύουν την εγκατάσταση μιας συγκεκριμένης επισφαλούς εφαρμογής ή να προειδοποιούν το χρήστη όταν προσπαθεί να λάβει υλικό από μη εγκεκριμένα appstores. Η διαδικασία αύτη ονομάζεται jail ή wall gardens και είναι μία ιδιαιτέρως κρίσιμη πολιτική ασφαλείας. Σε περίπτωση όπου ο χρήστης την αγνοήσει καθίσταται ευάλωτος στις επιθέσεις, ενώ αν η διαδικασία είναι ιδιαιτέρως περιοριστική ο χρήστης οδηγείται αναπόφευκτα σε διαδικασίες jailbreak και έτσι το ρίσκο είναι ακόμα υψηλότερο. Τα μοντέλα που υιοθετούνται ποικίλουν ανάλογα με το ποιες παραμέτρους ασφαλείας λαμβάνουν υπόψη τους:
   • Κλειστό «app-ecosystem»: οι συσκευές επιτρέπεται να λάβουν προγράμματα μόνο από ορισμένα appstores, δημιουργώντας έτσι μία κλειστού τύπου επικοινωνία και κοινές πρακτικές ασφαλείας.
   • appstores πολυεθνικών: επιτρέπουν την πρόσβαση μόνο στους εταιρικούς χρήστες και αυτοί μπορούν να εγκαταστήσουν εφαρμογές μόνο από το appstore της εταιρείας.
   • Ανοικτά «app-ecosystem»: σε αυτό το μοντέλο ο καθένας μπορεί να δημιουργήσει ένα appstore και οι χρήστες έχουν απόλυτη ελευθερία επιλογής, αλλά έτσι αυξάνεται ο κίνδυνος της μόλυνσης από κακόβουλο λογισμικό.
   • Ομοσπονδιακά appstores: τα appstores μπορούν να δημιουργήσουν ομοσπονδίες στις οποίες θα μετέχουν μόνο όσοι πληρούν κάποια ελάχιστα επίπεδα ασφάλειας. Με αυτό τον τρόπο ο χρήστης θα έχει την ελευθερία της επιλογής, αλλά θα απολαμβάνει τα πλεονεκτήματα ασφάλειας ενός κλειστού τύπου «app-ecosystem».
   • Κοινή κατάταξη των εφαρμογών: μία άλλη ιδέα είναι η κοινή κατάταξη των εφαρμογών σε όλα τα appstores, διατηρώντας μία λίστα αξιόπιστων εφαρμογών ανεξαρτήτως από το appstore στο οποίο ελήφθησαν. Οι υπεύθυνοι αυτής της λίστας θα αναλαμβάνουν την αυθεντικοποίηση των εφαρμογών και τον καθορισμό της φήμης τους σε σχέση με την ασφάλεια και ιδιωτικότητα που παρέχουν.

Εν κατακλείδι, οτιδήποτε είναι ανοικτό σε επικοινωνία με τον κόσμο του διαδικτύου βάλλεται από επιθέσεις, που για να αντιμετωπιστούν απαιτείται ιδιαίτερη ενασχόληση. Όσο θα υπάρχουν επιτιθέμενοι θα υπάρχουν και αμυνόμενοι και όπως ακριβώς συμβαίνει και με τα PCs, πάντα θα υπάρχει ο κίνδυνος της μόλυνσης. Η επαγρύπνηση του χρήστη και η σωστή επιλογή από αυτά που προτείνει ο κατασκευαστής της συσκευής του ή κάποιο εγκεκριμένο appstore, είναι αυτά που μπορούν να τον διαφυλάξουν, χωρίς ποτέ όμως να υπάρχουν 100% εγγυήσεις ασφάλειας. Άλλωστε, πού υπάρχουν;

Αναφορά :
ENISA,
Appstore security
“5 lines of defence against malware”

Της Παναγιώτας Τσώνη