“Stagefright boleśnie pokazał powolność procesu naprawiania luk bezpieczeństwa w urządzeniach z Androidem” – 3 pytania do Dario Incalzy, prelegenta #MTC2016

dario

3 pytania do prelegenta kierujemy do naszego gościa zza granicy – Dario Incalzy. Jest on inżynierem bezpieczeństwa w GuardSquare, wiodącym ekspercie w dziedzinie bezpieczeństwa aplikacji mobilnych. Łączy pasję do bezpieczeństwa z pasją do Androida. W wywiadzie opowiada o tym, na czym zna się najlepiej – o bezpieczeństwie urządzeń mobilnych.

Co Twoim zdaniem okazało się mobilną porażką roku 2015 i dlaczego?

Moim zdaniem na miano to zasługuje błąd Stagefright występujący na Androidzie. Powierzchnia ataku była ogromna, blisko miliard urządzeń z Androidem było narażonych po ujawnieniu tej luki systemowej. To boleśnie pokazało powolność procesu naprawiania luk bezpieczeństwa w urządzeniach z Androidem, czego główną przyczyną była zbyt wolna reakcja producentów urządzeń.

Czy dbasz o bezpieczeństwo swojego smartfona? Jak zabezpieczasz swoje dane przed złośliwym oprogramowaniem?

Tak. Używam swojego smartfona dość dużo w ciągu dnia, zarówno moje służbowe jak i prywatne skrzynki pocztowe są zsynchronizowane z moim urządzeniem. Dlatego też odpowiednia ochrona smartfona jest kluczowa. Chronię swój telefon używając fabrycznie zainstalowanego Androida, którego mogę patchować  od razu, gdy ukażą się najświeższe łatki dotyczące bezpieczeństwa. Ponadto używam VPN by zabezpieczyć wszystkie wiadomości spływające z i na mojego smartfona. Co więcej, nie ładuję na telefonie danych, które są zbyt wrażliwe – wprowadzam je i odczytuję tylko na moim laptopie, który ma wyższy wskaźnik bezpieczeństwa. To mój sposób na ochronę moich danych.

Wygłosisz prelekcję na Mobile Trends Conference 2016. O czym będzie Twoje wystąpienie?

Podczas mojej prelekcji spróbuję zainspirować deweloperów i osoby decyzyjne, by pomyślały o bezpieczeństwie aplikacji. Wiele zagrożeń kryje się za mobilnymi aplikacjami; zagrożeń, które mogą zostać zminimalizowane, którym możemy stawić czoła, a nawet je zlikwidować. Ale czy deweloperzy są świadomi tych zagrożeń? Co więcej mogą zrobić lub co mogą zrobić inaczej? Co to wszystko ma wspólnego z efektywną polityką zarządzania ryzykiem ? Prelekcja udzieli odpowiedzi na te pytania i zmotywuje do działania, by tworzyć bezpieczniejsze aplikacje mobilne.

Wersja oryginalna:

What and why was the „mobile disaster” of 2015?

In my opinion this has to be the Stagefright exploit on Android. The attack surface was huge, almost a billion Android devices were vulnerable upon disclosure of the vulnerability. This painly showed the slow security patching proces of Android devices, primarly because the OEMs did not act fast enough.

Do you care about your smartphone safety? How do you protect your data from hackers and malware?

Yes. I use my smartphone quite a lot during the day, my professional and personal e-mail accounts are synched with my device. So a decent smartphone protection is crucial. I protect my smartphone by using a clean and stock Android image which I can patch immediately with the latest security patches. Additionaly I use a VPN to secure all of my mobile communications from and to my smartphone. Lastly, data which is too sensitive won’t be loaded on my smartphone, but on my laptop which has higher security measures. For me, this is the best way to keep my data safe.

You will have a lecture on Mobile Trends Conference 2016. Can you familiarize the readers with the theme of your presentation?

My talk will try to inspire developers and decision makers to think about application security. Several threats exist towards mobile applications, threats that can be lowered, countered or even deleted. But are developers aware of these threats? What can they do more or what can they do different? What does this all has to do with an effective risk management policy? The talk will deliver the answers and a call for action to create safer and more secure mobile applications.


  
  
. .