terça-feira, 25 de janeiro de 2011

Segurança no Android

O Android é seguro?
Como evitar problemas de segurança no Android?
Vou precisar de um anti-vírus no Android?
Como é que a Google sabe que os programas submetidos no Android Market são seguros?

Se estiver interessado nas respostas continue lendo este texto para esclarecer algumas dúvidas em relação à segurança do seu Android.
Nos últimos tempos apareceram algumas "noticias" de que o Android já foi alvo de vírus e "malware". O "mercado" Android não para de crescer. Por isso não é de estranhar que cada vez mais, apareçam empresas de "segurança" "alertando" contra os "perigos" do Android.

Não existe nenhum sistema operacional/operativo no Mundo que seja infalível. Todos os S.O. têm as suas falhas. E no Andrioid não é diferente. Mas acho que algumas empresas estão a exagerar. Estão a fazer uma tempestade num copo de água.

Eu considero o Android um sistema seguro.
Mas não adianta ter um sistema seguro se o utilizador não for cuidadoso. É preciso seguir algumas regras para manter o sistema seguro. Boas praticas de segurança, são mais eficazes que qualquer super-anti-vírus que alguém tenta vender. :)

A primeira regra é nunca instalar programas de fontes não oficiais. NUNCA MESMO! Instale sempre programas de uma fonte credível, ou seja, do Android Market. Por muito interessante que algum programa possa parecer, nunca instale um programa (apk) de outros sites. No Android existe uma opção nas configurações para permitir instalar programas de outras fontes, mas isso é apenas para casos especiais. Por exemplo: Um programa de uma fonte (site) que é de sua inteira confiança.
Mas se o programa for bom, e de confiança, não existe razão para o autor não enviar o programa para o Android Market. ;)

Mas... e se o "malware" estiver num programa que está no Android Market? Já existem mais de 100.000 aplicações. Como é que a Google "controla" todas essas aplicações?
A resposta está nas assinaturas digitais, e no arquivo AndroidManifest.
Um "malware" até pode ser instalado pela fonte oficial (ou seja pelo Android Market), isso não é impossível de acontecer, mas é pouco provável. Porque para submeter uma aplicação ao Android Market o autor do programa vai ter de se identificar. Todos os "apk" tem uma assinatura digital, que identifica o seu autor. Se o developer colocar algum código malicioso no programa, assim que o "esquema" for descoberto, o Google vai facilmente identificar o autor, e consequentemente agir judicialmente contra ele. Este sistema de certificados cria um relação de confiança entre Google, developers, e usuário.
Além disso todas as aplicações rodam numa máquina virtual, e cada VM tem a sua própria "user id", ou seja rodam numa "pasta isolada" e não podem aceder à "raiz" do sistema. Para o programa aceder à alguns serviços do sistema, o developer precisa de "pedir" permissão através do AndroidManifest. Sem isso a aplicação não poderá aceder à Internet, camera, lista de contactos etc...
É o AndroidManifest que também "avisa" quais as permissões que o programa precisa para ser instalado. Essa informação aparece no Android Market antes de você aceitar a instalação, e também pode ser consultada após a instalação (ir até: definições -> Aplicações -> Gerir Aplicações, escolha um programa e veja a lista de permissões em baixo).

Se o programa precisa de aceder à camera do smartphone, e o developer não colocar isso no AndroidManifest, o programa não vai conseguir ter acesso à camera através da API. O sistema não libera o acesso. É simples e eficaz.

Outra regra é verificar sempre as permissões de um programa do Android Market antes de instalar.
Por exemplo... se você quiser instalar um gestor de ficheiros/arquivos existem várias opções no Android Market. Compare os pedidos de permissão de um gestor de ficheiros/arquivos com outro. Não faz sentido que um gestor de ficheiros/arquivos tenha acesso à Internet (excepto se tiver uma funcionalidade para aceder a arquivos/ficheiros num ftp). Por isso o mais aconselhável é escolher e instalar o gestor de ficheiros/arquivos que precisa apenas de permissão para apagar e remover ficheiros.
Desconfie sempre de um jogo, que para ser instalado precisa de aceder à sua lista de contactos. É apenas um exemplo, não conheço nenhum jogo que exija isso porque, não faz sentido que um jogo precise de acesso à sua lista de contactos para funcionar. Por isso, antes de instalar verifique sempre as permissões. :)

Outro ponto crítico na segurança do Android é o "acesso root", que é um processo relativamente fácil de concretizar (é fácil encontrar na Internet documentação e tutorias para "ter acesso root"), mas não é recomendado a utilizadores que não fazem a mínima ideia do que estão a fazer. Quando você faz "rooting" ao sistema, as suas responsabilidades também aumentam. Maiores poderes administrativos sobre o sistema, implica maiores responsabilidades! Os cuidados devem ser redobrados!

Resumindo...
O Android é um sistema seguro, mas não existe nenhum sistema seguro à prova de "erros" humanos. :)
Se instalar apenas programas do Android Market, e verificar sempre quais as permissões que o programa precisa, o seu Android ficara sem dúvida muito mais seguro, e sobre o seu controle.

Nenhum comentário :