terça-feira, 25 de janeiro de 2011

Segurança no Android

O Android é seguro?
Como evitar problemas de segurança no Android?
Vou precisar de um anti-vírus no Android?
Como é que a Google sabe que os programas submetidos no Android Market são seguros?

Se estiver interessado nas respostas continue lendo este texto para esclarecer algumas dúvidas em relação à segurança do seu Android.
Nos últimos tempos apareceram algumas "noticias" de que o Android já foi alvo de vírus e "malware". O "mercado" Android não para de crescer. Por isso não é de estranhar que cada vez mais, apareçam empresas de "segurança" "alertando" contra os "perigos" do Android.

Não existe nenhum sistema operacional/operativo no Mundo que seja infalível. Todos os S.O. têm as suas falhas. E no Andrioid não é diferente. Mas acho que algumas empresas estão a exagerar. Estão a fazer uma tempestade num copo de água.

Eu considero o Android um sistema seguro.
Mas não adianta ter um sistema seguro se o utilizador não for cuidadoso. É preciso seguir algumas regras para manter o sistema seguro. Boas praticas de segurança, são mais eficazes que qualquer super-anti-vírus que alguém tenta vender. :)

A primeira regra é nunca instalar programas de fontes não oficiais. NUNCA MESMO! Instale sempre programas de uma fonte credível, ou seja, do Android Market. Por muito interessante que algum programa possa parecer, nunca instale um programa (apk) de outros sites. No Android existe uma opção nas configurações para permitir instalar programas de outras fontes, mas isso é apenas para casos especiais. Por exemplo: Um programa de uma fonte (site) que é de sua inteira confiança.
Mas se o programa for bom, e de confiança, não existe razão para o autor não enviar o programa para o Android Market. ;)

Mas... e se o "malware" estiver num programa que está no Android Market? Já existem mais de 100.000 aplicações. Como é que a Google "controla" todas essas aplicações?
A resposta está nas assinaturas digitais, e no arquivo AndroidManifest.
Um "malware" até pode ser instalado pela fonte oficial (ou seja pelo Android Market), isso não é impossível de acontecer, mas é pouco provável. Porque para submeter uma aplicação ao Android Market o autor do programa vai ter de se identificar. Todos os "apk" tem uma assinatura digital, que identifica o seu autor. Se o developer colocar algum código malicioso no programa, assim que o "esquema" for descoberto, o Google vai facilmente identificar o autor, e consequentemente agir judicialmente contra ele. Este sistema de certificados cria um relação de confiança entre Google, developers, e usuário.
Além disso todas as aplicações rodam numa máquina virtual, e cada VM tem a sua própria "user id", ou seja rodam numa "pasta isolada" e não podem aceder à "raiz" do sistema. Para o programa aceder à alguns serviços do sistema, o developer precisa de "pedir" permissão através do AndroidManifest. Sem isso a aplicação não poderá aceder à Internet, camera, lista de contactos etc...
É o AndroidManifest que também "avisa" quais as permissões que o programa precisa para ser instalado. Essa informação aparece no Android Market antes de você aceitar a instalação, e também pode ser consultada após a instalação (ir até: definições -> Aplicações -> Gerir Aplicações, escolha um programa e veja a lista de permissões em baixo).

Se o programa precisa de aceder à camera do smartphone, e o developer não colocar isso no AndroidManifest, o programa não vai conseguir ter acesso à camera através da API. O sistema não libera o acesso. É simples e eficaz.

Outra regra é verificar sempre as permissões de um programa do Android Market antes de instalar.
Por exemplo... se você quiser instalar um gestor de ficheiros/arquivos existem várias opções no Android Market. Compare os pedidos de permissão de um gestor de ficheiros/arquivos com outro. Não faz sentido que um gestor de ficheiros/arquivos tenha acesso à Internet (excepto se tiver uma funcionalidade para aceder a arquivos/ficheiros num ftp). Por isso o mais aconselhável é escolher e instalar o gestor de ficheiros/arquivos que precisa apenas de permissão para apagar e remover ficheiros.
Desconfie sempre de um jogo, que para ser instalado precisa de aceder à sua lista de contactos. É apenas um exemplo, não conheço nenhum jogo que exija isso porque, não faz sentido que um jogo precise de acesso à sua lista de contactos para funcionar. Por isso, antes de instalar verifique sempre as permissões. :)

Outro ponto crítico na segurança do Android é o "acesso root", que é um processo relativamente fácil de concretizar (é fácil encontrar na Internet documentação e tutorias para "ter acesso root"), mas não é recomendado a utilizadores que não fazem a mínima ideia do que estão a fazer. Quando você faz "rooting" ao sistema, as suas responsabilidades também aumentam. Maiores poderes administrativos sobre o sistema, implica maiores responsabilidades! Os cuidados devem ser redobrados!

Resumindo...
O Android é um sistema seguro, mas não existe nenhum sistema seguro à prova de "erros" humanos. :)
Se instalar apenas programas do Android Market, e verificar sempre quais as permissões que o programa precisa, o seu Android ficara sem dúvida muito mais seguro, e sobre o seu controle.

segunda-feira, 3 de janeiro de 2011

Caixa Mágica muda base para Debian

A próxima versão da distribuição Portuguesa "Caixa Mágica" (versão 16) irá mudar a "base" para Debian.
Veja o texto do anúncio oficial:
http://www.caixamagica.pt/pag/f_notc00.php?id=254
Há um pormenor interessante nesse texto no site da CM...

"A próxima versão da sua distribuição de Linux - a Caixa Mágica 16, prevista para Abril de 2011 - terá uma base Debian partilhando pacotes com Ubuntu e Mint"


Partilha de pacotes com o Ubuntu? Lançamento em Abril? Coincidência? Acho que não.

Em setembro de 2010 a CM e a Sybase promoveram um "Encontro Nacional sobre Tecnologia Aberta"
http://www.caixamagica.pt/Linux2010/
O evento contou com a presença de uma convidada "especial". A CEO da canonical Jane Silber.

Quando vi a newsletter da CM achei o convite à CEO da Canonical um pouco fora do contexto.
Agora ficou tudo claro, e está explicado o porquê do convite. :)

A CM começou a usar uma "base" SuSe Linux. Quando mudou para uma "base" Mandriva ficou muito melhor (na minha opinião). Só que ultimamente a Mandriva passou por várias crises, e quase acabou.
Mas agora com Debian a mudança vai ser mais "radical". Uma das funcionalidade interessantes da CM era o "rollback" que eles desenvolveram para o APT. Seria interessante ver essa funcionalidade num "Debian-like".

Mas a ironia desta notícia é que uma mentira de "1º de Abril" virou verdade LOL

Caixa Mágica é uma excelente distribuição. Essa mudança para Debian promete. Em abril de 2011 ficaremos a conhecer o resultado final.