per Zero-Day
| 29 novembre 2019 — 19:11 GMT (19:11 GMT)
| Argomento: Sicurezza
Immagine: Ivan Rodriguez
All’inizio di questo mese, il ricercatore di sicurezza Ivan Rodriguez ha proposto un nuovo standard di sicurezza per le applicazioni iOS, che ha chiamato la Sicurezza.plist.
L’idea è semplice. App makers vorresti creare un elenco delle proprietà di file (plist) nome della sicurezza.plist che avrebbero incorporare all’interno della root di iOS apps.
Il file contiene tutti i dettagli di contatto per la segnalazione di una falla di sicurezza per l’applicazione del creatore. I ricercatori di sicurezza di analisi di un app sarebbe un modo semplice per entrare in contatto con i creatori di app.
Ispirato security.txt e il suo grande successo
Rodriguez ha detto che l’idea per la Sicurezza.plist è venuto da Security.txt un simile standard per i siti web, che è stato proposto alla fine del 2017.
Security.txt e ‘ attualmente in corso un funzionario di un processo di standardizzazione della Internet Engineering Task Force (IETF), ma è stato ampiamente adottato già, e aziende come Google, GitHub, LinkedIn e Facebook, tutti hanno un security.txt file ospitati sui loro siti, in modo da cacciatori di bug possibile mettersi in contatto con i loro rispettivi team di sicurezza.
Rodriguez, che è un appassionato cacciatore di bug in iOS apps, ha detto che ha deciso di proporre una cosa simile per iOS apps perché entrare in contatto con un’app dev o team di sicurezza è stato un problema in passato.
“Trascorro la maggior parte del mio tempo libero frugando applicazioni mobili che mi ha portato a trovare molte vulnerabilità e devo ancora trovare uno che ha un modo facile per trovare i canali giusti per responsabile divulgare queste questioni”, Rodriguez ha detto ZDNet in una e-mail di questa settimana.
“Il più delle volte, devo scrivere una email ad un generico info@company.com o compilare un modulo sul company.com/contact sito web. La maggior parte di questi canali sono gestiti da persone in marketing o di vendita, che potrebbe non avere idea di come rispondere, cosa fare o anche per identificare se si tratta di un problema reale”, il ricercatore ha detto.
Egli sostiene che questo sarebbe molto più facile se gli opportuni contatti saranno elencati in un file plist ospitato in app root.
Piani per raggiungere Apple, ma
Per ora, Rodriguez ha solo messo avanti l’idea. Vuole vedere come app makers senti all’idea.
“Finora, ho ottenuto grandi reazioni, ma potrebbe essere perché la maggior parte delle persone che seguono o mi seguono sono pro ‘applicazione di sicurezza’,” Rodriguez ha detto di ZDNet. “Potrebbe essere un po’ troppo presto per dirlo, ma spero davvero che sia per la sicurezza.plist o qualsiasi altro modo per distribuire le informazioni di contatto sul mobile cattura.”
Il ricercatore di sicurezza non ha ancora raggiunto fuori di Apple, l’unica entità che potrebbe fare security.txt obbligatorio per tutte le applicazioni iOS.
“Penso che sia troppo presto” Rodriguez ha detto. “Anche se Apple fa un ottimo lavoro quando si tratta di pratiche di sicurezza, protezione obbligatorie chiede difficile da applicare, come abbiamo visto con l’App di Trasporto di Sicurezza (ATS).”
Un sito web per aiutare app iOS produttori di ottenere iniziato
Per contribuire a spostare le cose insieme, Rodriguez ha pubblicato un sito web per la sicurezza.plist dove app maker in grado di generare un file di base per includere all’interno delle loro applicazioni.
“Spero che gli sviluppatori di telefonia mobile vedi di sicurezza.plist come un primo passo per lavorare a stretto contatto con la comunità della sicurezza” Rodriguez ha detto.
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Apple
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 29 novembre 2019 — 19:11 GMT (19:11 GMT)
| Argomento: Sicurezza