Ich bin gerade auf mehrere .apk
Dateien gestoßen, die mit Github-Projekten gehostet werden und "zum Debuggen kompiliert" sind (dh application-debuggable
festgelegt haben, was man zB überprüfen kann aapt dump badging /path/to/apk | grep debuggable
. Da ich kein Android-Entwickler bin, habe ich nur vage Ideen, wofür das ist (erweitertes Debuggen über) ADB) - aber das ist hier nicht die Frage.
Meine Frage ist aus reiner Endbenutzerperspektive: Welche (Sicherheits-) Auswirkungen hat die Installation / Verwendung einer solchen App? Welche Risiken muss man beachten?
Natürlich suchte ich im Internet nach Hinweisen dazu, bekam aber wieder nur vage Hinweise wie "du sollst nicht" und "für eine Veröffentlichung sollte dies ausgeschaltet sein" - keine Gründe, kein Hintergrund. Dafür könnte man denken "offensichtlich keine große Sache" - aber Notizen wie "Verbringen Sie einige Zeit damit, über die Sicherheitsauswirkungen für Ihre Benutzer in diesem Kontext nachzudenken (siehe diese Antwort bei SO) schlagen dies anders vor.
Kann hier jemand einen Einblick geben?
quelle
Antworten:
Es gibt keine angeborenen Probleme beim Ausführen einer Debug-App. Wenn jemand Ihr entsperrtes Telefon greift, den Entwicklermodus aktiviert und mit dem Debuggen beginnt, kann er möglicherweise vertrauliche Informationen etwas einfacher aus dem Speicher der App abrufen. Dies ist jedoch nicht besonders realistisch und kann mit einem Sperrbildschirm problemlos behoben werden.
Debug-Informationen werden es auch schwieriger machen, Sicherheit durch Dunkelheit zu nutzen, von der wir alle wissen, dass sie keine echte Sicherheit ist. Dies ist offensichtlich nicht einmal ein Faktor, wenn es um Open-Source-Apps geht, da sie einfach die Quelle untersuchen können, um einen Fehler zu finden.
Die Besonderheiten der Codepfade, die Sie zum Debuggen hinzugefügt haben, können jedoch definitiv Sicherheitslücken sein. Möglicherweise schreibt die Debug-Version zu Test- und Überprüfungszwecken das Kennwort des Benutzers beispielsweise bei der Anmeldung an logcat. Es gibt eine Menge PII, die auf diese Weise verfügbar gemacht werden könnten.
Für einen Endbenutzer ist alles, was Sie wissen, dass es wahrscheinlich wahrscheinlicher ist, dass eine beliebige App Informationen verliert, wenn es sich um eine Debug-Version handelt. Wenn Sie nicht selbst danach suchen, werden Sie es wahrscheinlich nicht sehen. Das ist wahrscheinlich Grund genug, solche Apps zu vermeiden - doppelt so, da ein Entwickler, der den Unterschied zwischen Release- und Debug-Versionen nicht kennt, Ihre Daten wahrscheinlich auch nicht sehr kompetent schützt.
Dan Hulme machte auch im Chat einen guten Punkt : Eine Debug-Version wird wahrscheinlich nicht richtig signiert, was bedeutet, dass sie von einer böswilligen Quelle "aktualisiert" werden könnte. Ich würde wieder annehmen, dass dies ein unwahrscheinliches Ereignis ist, aber es ist ein weiterer Punkt dagegen.
quelle