¿Qué implicaciones de seguridad tiene el uso de una aplicación creada "para la depuración"?

Question

¿Qué implicaciones de seguridad tiene el uso de una aplicación creada "para la depuración"?

Preguntado el 23 de Marzo, 2016: Cuando se hizo la pregunta
258 visitas: Cuantas visitas ha tenido la pregunta
2 Respuestas: Cuantas respuestas ha tenido la pregunta
Resuelta: Estado actual de la pregunta

Acabo de encontrarme con varios .apk archivos alojados con proyectos de Github que están "compilados para depuración" (es decir, que tienen application-debuggable que se puede comprobar, por ejemplo, con aapt dump badging /path/to/apk | grep debuggable . Al no ser un desarrollador de Android, sólo tengo una vaga idea de para qué sirve eso (depuración extendida vía ADB) - pero esa no es la cuestión aquí.

Mi pregunta es de un perspectiva puramente de usuario final: ¿Cuáles son las implicaciones (de seguridad) de la instalación/utilización de dicha aplicación? ¿Cuáles son los riesgos que hay que tener en cuenta?

Por supuesto que busqué en la web pistas sobre esto, pero de nuevo sólo obtuve vagas pistas como "no debes", y "para una liberación esto debe ser desactivado" - sin razones, sin antecedentes. Por eso uno podría pensar "obviamente no es gran cosa" - pero notas como Dedique algún tiempo a pensar en las implicaciones de seguridad para sus usuarios en este contexto (véase esta respuesta en el SO) sugieren lo contrario.

¿Alguien puede aportar alguna idea?

Preguntado el 23 de Marzo, 2016 por Izzy

0 votos

Lecturas relacionadas con la seguridad . Tenga en cuenta que en el caso de las aplicaciones web puede ser más grave (puede conceder acceso adicional y filtrar muchos datos de los usuarios a la vez), pero en general es similar a lo que he dicho a continuación - definitivamente hay problemas, pero son en su mayoría potenciales efectos secundarios más que verdaderos agujeros.

Comentado el 24 de Marzo, 2016 por Matthew Read

1 votos

Como nota al margen, también puedes comprobar si una aplicación es depurable desde Opciones del desarrollador - Seleccione la aplicación de depuración (al menos en la ROM de Nexus). El paquete de la aplicación depurable siempre se muestra en LogCat (en comparación con el paquete vacío de las aplicaciones de lanzamiento), lo que facilita la identificación de lo que está haciendo (ya sea para el desarrollador, el usuario final y el atacante).

Comentado el 24 de Marzo, 2016 por Andrew T.

0 votos

@AndrewT. Gracias por la explicación. A menudo me he preguntado cómo se debe interpretar esa configuración. Si eso ofrece una posibilidad de "comprobar el riesgo" (preferiblemente sin muchos conocimientos de dev), sería bueno saberlo. Mejor aún si se puede desactivar la bandera de depuración de la aplicación desde allí :)

Comentado el 24 de Marzo, 2016 por Izzy

Mostrar 2 comentarios más

Answer 1

2 Respuestas

Answer 2

5voto

Matthew Read Puntos 35808

No hay realmente ningún innato problemas con la ejecución de una aplicación de depuración. Si alguien coge tu teléfono desbloqueado, activa el modo de desarrollador y empieza a depurar, podría obtener información sensible de la memoria de la aplicación con algo más de facilidad, pero eso no es especialmente realista y se puede contrarrestar fácilmente con una pantalla de bloqueo.

La información de depuración también dificultará el uso de la seguridad a través de la oscuridad, que todos sabemos que no es una seguridad real. Obviamente, esto ni siquiera es un factor cuando se trata de aplicaciones de código abierto, ya que pueden simplemente inspeccionar el código fuente para encontrar un fallo.

Sin embargo, los detalles de las rutas de código que has añadido para la depuración pueden ser definitivamente agujeros de seguridad. Tal vez para propósitos de prueba y verificación, la versión de depuración escribe la contraseña del usuario a logcat cuando se registra, por ejemplo. Hay una gran cantidad de PII que podría ser expuesta de esta manera.

Para un usuario final, todo lo que sabe es que es probablemente sea más probable para que una aplicación arbitraria filtre información si es una versión de depuración. A menos que lo busques tú mismo, no es probable que lo veas. Esta es probablemente una razón suficiente para evitar este tipo de aplicaciones - doblemente porque un desarrollador que no sabe la diferencia entre las versiones de liberación y depuración probablemente tampoco está protegiendo tus datos de manera muy competente.

Dan Hulme también hizo un buen punto en el chat : Una versión de depuración probablemente no estará debidamente firmada, lo que significa que podría ser "actualizada" desde una fuente maliciosa. De nuevo, presumo que esto es poco probable, pero es otro punto en contra.

Respondido el 24 de Marzo, 2016 por Matthew Read (35808 Puntos )

0 votos

¡Gracias, Matthew! Entonces, si le preguntaran a un usuario medio: ¿desaconsejaría encarecidamente el uso de una aplicación de este tipo, sugeriría simplemente "tener cuidado", o algo intermedio?

Comentado el 24 de Marzo, 2016 por Izzy

1 votos

@Izzy yo lo desaconsejaría moderadamente. Si tienes que elegir entre la depuración y la liberación, elige siempre la liberación, por supuesto. Pero si has tomado las precauciones adecuadas, como no usar la misma contraseña en otros sitios, y no es algo importante como tu correo electrónico/Twitter/banca/etc., entonces probablemente no va a terminar siendo un problema.

Comentado el 24 de Marzo, 2016 por Matthew Read

1 votos

"Dada la elección entre depuración y liberación" no necesitaría preguntar :) El problema es que algunos proyectos sólo ofrecen una versión de depuración, y no tienen presencia en Playstore o en F-Droid. Pero la última frase de tu edición tiene un buen punto: el dev podría haber "dejado agujeros de seguridad en otros lugares" también. Así que vale la pena un "fuerte consejo en contra" con estos antecedentes - pero no tan fuerte como "instalar voluntariamente el malware". Gracias de nuevo. Aceptaré tu respuesta entonces (por supuesto, sigo abierto a otras ideas, como las de Andrew en su comentario sobre mi pregunta).

Comentado el 24 de Marzo, 2016 por Izzy

Answer 3

0voto

Izzy Puntos 45544

Con Android 12, se añade un nuevo aspecto a esto: adb backup ya no incluye los datos de la aplicación por defecto, a menos que la aplicación se haya creado "para depuración". Así que en realidad, si su dispositivo no tiene root y que dependen de adb backup para sus copias de seguridad (por ejemplo, si no utiliza la copia de seguridad en la nube de Google, y su ROM no tiene soporte para Bóveda de semillas ¹ incorporado), es posible que desee que esté configurado.

¹ _{Seedvault viene incluido por ejemplo con LineageOS desde Android 10, y también con algunas otras ROMs personalizadas}

Respondido el 22 de Octubre, 2022 por Izzy (45544 Puntos )

¿Qué implicaciones de seguridad tiene el uso de una aplicación creada "para la depuración"?

Respuestas

Preguntas Destacadas

Etiquetas mas usadas

PreguntAndroid.com

Powered by:

¿Qué implicaciones de seguridad tiene el uso de una aplicación creada "para la depuración"?

Respuestas

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

Powered by: