Комментарии 17
Самые популярные мобильные приложения проходят регулярный статический анализ кода
А почему не все? Если я правильно понимаю, процесс можно легко унифицировать и распространить на все приложения.
+3
На самом деле тут всё просто. Популярные приложения активно разрабатываются, кодовая база у них растет и меняется, поэтому следить за каждым коммитом вручную было бы тяжело. Поэтому важные части приложения анализируются вручную, но остальной код проверяется автоматически при сборке.
Что касается приложений с менее активной разработкой, то там можно руками без труда проверить каждое изменение и каждый новый релиз. Или опять же при желании собрать проект с Coverity.
Что касается приложений с менее активной разработкой, то там можно руками без труда проверить каждое изменение и каждый новый релиз. Или опять же при желании собрать проект с Coverity.
0
Руками? Да вы шутите. Почему и вправду не унифицировать? Из тысяч приложений можно отслеживать изменившееся и перезапускать проверки.
+1
не совсем понятно было, какой «выхлоп» будет от такого фактора, как размер входного файла или количество URL в переменных и ресурсах, но на первом этапе хотелось использовать все возможности
Не являюсь экспертом в машинном обучении, но вы не пробовали использовать бустинг? Теоретически он позволяет сделать из множества слабых классификаторов один сильный.
0
Matrixnet и есть бустинг api.yandex.ru/matrixnet/
+2
Вы в Яндексе конечно молодцы. С вашими ресурсами можно создать весьма большую ферму и анализировать много данных. Собственно Касперскому это и не хватает.
С другой стороны, Google уделяет этому пристальное внимание. Да и с нативным кодом вы конечно сильно запаздываете, этак на пару лет :)
С другой стороны, Google уделяет этому пристальное внимание. Да и с нативным кодом вы конечно сильно запаздываете, этак на пару лет :)
0
Google очень далеко ушел в динамическом анализе, но мы постараемся наверстать упущенное. В том числе и в том, что касается нативных частей приложений.
0
«стараемся использовать краудфаундинг при поиске уязвимостей» Вы тут неверно используете термин. Краудфаундинг — это коллективное финансирование какого-либо проекта. Поиск уязвимостей тут совсем не причем.
0
Жаль, что у вас программа поощрения стала работать много позже, чем мы поимели весь мейл.яндекс и имели доступ ко всем ящикам. Тогда нам разве что судом грозили и спецслужбами, а не поощрениями ) хотя информация не ушла далеко.
Ну и анализ кода даст профит, конечно, однако существует много уязвимостей не связанных с кодом. Порой не нужно настраивать https прокси, чтобы отследить общение с сервером. Достаточно унгзипить проект приложения и найти там git файлы или любой другой системы контроля версий (упс, опять спалил, скрипткидди, в атаку!) или, например, какие-нибудь json/xml/csv конфиги, где можно произвести injection.
Как там Вовка Воронцов, кстати? Всё ещё рабоатет на Яшу? Если да, у вас есть надежда. Если нет, ожидайте.
Ну и анализ кода даст профит, конечно, однако существует много уязвимостей не связанных с кодом. Порой не нужно настраивать https прокси, чтобы отследить общение с сервером. Достаточно унгзипить проект приложения и найти там git файлы или любой другой системы контроля версий (упс, опять спалил, скрипткидди, в атаку!) или, например, какие-нибудь json/xml/csv конфиги, где можно произвести injection.
Как там Вовка Воронцов, кстати? Всё ещё рабоатет на Яшу? Если да, у вас есть надежда. Если нет, ожидайте.
-6
НЛО прилетело и опубликовало эту надпись здесь
Вот автор статьи тут рассказывал про разрешения для приложений, что вредоносные приложения можно определить по разрешениям, которые им требуются. Но в то же время Яндекс.Store нигде не публикует список разрешений, которые требуются приложению. Узнать всё можно только загрузив приложение. А есть ли смысл загружать игрушку в 50 мб, если потом выяснится, что она требует, к примеру, разрешение на отправку SMS или доступ к контактам и я всё равно её не буду устанавливать?
Также хочу заметить, что у Яндекс.Store тоже довольно таки значительный список разрешений, и некоторые меня откровенно смущают: аудиозапись, доступ к аккаунтам и т.д. К чему всё это маркету?
Ещё из пожеланий: сделать хоть даже грубый фильтр по разрешениям для приложений. К примеру иногда я ищу приложения, в которых нет разрешений доступ к сети, местоположению и т.д. Очень хотелось бы иметь маркет, в котором можно было бы иметь расширенный поиск набором фильтров по стоимости (платно/бесплатно), категории (игры: аркады, экшн, спортивные...., приложения: утилиты, здоровье, мельтимедиа...) и разрешениям (SMS, интернет, аккаунты, личная информация, местоположение, аудио-видеозапись...). Вот тогда этот маркет стал бы действительно очень полезным инструментом.
Также хочу заметить, что у Яндекс.Store тоже довольно таки значительный список разрешений, и некоторые меня откровенно смущают: аудиозапись, доступ к аккаунтам и т.д. К чему всё это маркету?
Ещё из пожеланий: сделать хоть даже грубый фильтр по разрешениям для приложений. К примеру иногда я ищу приложения, в которых нет разрешений доступ к сети, местоположению и т.д. Очень хотелось бы иметь маркет, в котором можно было бы иметь расширенный поиск набором фильтров по стоимости (платно/бесплатно), категории (игры: аркады, экшн, спортивные...., приложения: утилиты, здоровье, мельтимедиа...) и разрешениям (SMS, интернет, аккаунты, личная информация, местоположение, аудио-видеозапись...). Вот тогда этот маркет стал бы действительно очень полезным инструментом.
0
По поводу разрешений для Yandex.Store — их действительно много, но все имеют смысл. Например, запись аудио — это необходимое условие для работы распознавания речи от Yandex.SpeechKit. Доступ к аккаунтам кажется для социальной авторизации нужен. Просто когда в приложении много функций имплементировано, количество разрешений тоже растет неизбежно. Отзыв я передам разработчикам Yandex.Store.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как мы проверяем безопасность мобильных приложений, и почему это непросто. Безопасность в Яндексе