Tikslas
Išsiaiškinti kaip kuraimos aplikacijos, kaip jos talpinamos į „App store“, kaip piktavaliai naudojasi saugumo spragomis.
Įžanga
Apple App Store tai programėlių platinimo platformą, pirmosios programeles iphone išmaniesems telefonams atsirado 2008 m. Idomus faktas kad pimoje iOS versijoje nebuvo App Store parduotuves. Dabar tai didžiausia programelių platinimo platformą kuri jau yra išleidusi daugiau nei 1mln. programelių.Aplikacijos kuriamos įvairios, pradedant žaidimais ir baigian elektronines bankininkystes programelemis, kuria galima disponuoti savo banko saskaita. Taigi labai svarbu yra aplikacijų saugumas.
Aplikaciju kurimas
Norint sukurti programele tereikia tik atsisiusti reikiama programine įranga (Xcode) ir isidiegti ją į savo kompiuteri, cia jokiu problemu. Toliau sukuriame aplikacja, cia jau viskas priklauso nuo poreike ir sugebejimu. Tarkim turime ir aplikacijos koda, o kas toliau? Visu pirma galime jia išmeginti virtualioj aplinkoj, patikrinti kaip ji veikia ir panasiai.
Bet norint įkelti programele į savo telefoną susiduriame su sunkumais, visu prima reikia gauti sertifikata iš apple firmos, susieti savo programa su apple.com svetaine gauti skaitmenini parasa.
Taigi gavus visus patvirtinimus galim isbandyti savo programele savo telefone, bet norint programele įdeti į app store visu pirma reikia issiusti savo porprograma patikrinimui į apple bustine, ten jau tikrina,patikrina sauguma, ir jei programa atitinkamus keliamus reikalaivimus, ji įdedama į app store parduotuve. Jei sumanete programele pardavineti apie 20-30% nuo programeles kainos gauna teikejas, musu atveju iTunes. Atrodytu kad aplikacijų patikrinimo metu kenkejiškos programos patekti i viešuma negali, nes programos kruopsiai tikrina pries pateikiant jas i app store, bet nevisai tai yra tiesa.
Saugumo ekspertai iš „Georgia Tech“ įrodė, kad ne viskas taip saugu kaip gali pasirodyti. Jie sukūrė programėlę, kuri prasmuko pro Apple saugumo vartus ir nekliudoma pateko į App Store. Apple tikrindama aplikaciją, paleidžia ją ne ilgesniam kaip kelių sekundžių laikotarpiui, prieš ją patvirtinant. Aplikacijoje piktybinę veiklą vykdantis kodas suskirstytas į porą atskirų segmentų, kurie po kurio laiko, paleidus aplikaciją, susijungia į vieną ir pradeda savo veiklą.
programėlėje buvo paslėptas pakankamai bjaurus kodas, kuris gali siųsti elektroninio pašto laiškus, Twitter’io žinutes, fotografuoti, pasisavinti asmeninę informaciją ir įrenginio ID numerius bei užpulti kitas aplikacijas vartotojui visai to nežinant ir nepastebint. Kodas net sugeba nukreipti Appe Safari naršyklę į svetainę, kurioje pilna kitų piktybinių kodų. Žodžiu, atlieka visa tai, ko nei vienas mūsų nenorėtų. Apple atitinkamai sureagavo į šį vaizdingą saugumo spragos pranešimą ir atitinkamai pakeitė iOS aplikacijų patikrinimo procedūrą atitinkamai, tačiau kas būtent aplikacijų patikroje buvo pakeista Apple neatskleidė.
iOS Sandbox
Saugumo sumetimais apple operacine sistema kiekviena įrasita programa įkeliama į taip vadinamą „smelio dežę“ (Ang. Sandbox), įskaitant nustatymus ir duomenis. Ši „smelio dėže“ apriboja aplikacijos prieiga prie sistemos duomenų, nustatymų, tinklo ir įrangos. Kiekviena programele yra atskirta viena nuo kitos.
iOS Passcode
Nai ir aisku kaip gi apsaugosi telefona be pačio primitiviausio apsaugos tipo Passcode. Čia jokios magijos, susikuriame slapta koda su kuriuo atrakiname telefona.
Literatūros sąrašas
https://www.apple.com/business/docs/iOS_Security_Guide.pdf
http://macarena.lt/2013/08/saugumo-ekspertai-parode-kad-apple-aplikaciju-patikroje-yra-spragu/