O novo site BABOO também deve abordar segurança no Android?

[Baboo]

Há muitos anos eu utilizo smartphones Samsung e meu foco em segurança também tem sido aplicado no Android. 

Embora o Android seja infinitamente mais inseguro e limitado que o Windows(*), há anos a maioria dos usuários utiliza muito mais smartphones do que PC/notebook. Então fica a dúvida: o novo site BABOO também deve abordar segurança no Android? 

Eu não votarei, pois prefiro me manter neutro nessa questão.

(*)
Infelizmente o Android impede que aplicativos de segurança possam acessar totalmente o hardware do smartphone, tornando seu uso mais inseguro. Exemplo básico: enquanto é perfeitamente possível um antivírus no Windows gerenciar a webcam e impedir que programas não-autorizados tenham acesso a ela, no Android isso é impossível - então por mais que você tenha um excelente antivírus no Android, NADA impede que você esteja sendo espionado pela câmera do seu celular e sua voz gravada pelo microfone.

O mesmo acontece com firewall, tráfego de dados, monitoramento de URL e rede, etc. Com isso, quem gravou você secretamente pode enviar tranquilamente todos os arquivos do seu smartphone para um servidor externo e você nunca saberá disso - algo que poderia ser facilmente detectado no Windows.

[demisrusso]

@Baboo Tem interesse também em abordar segurança no IOS?

[Baboo]

Em 27/01/2024 at 12:04, demisrusso disse:

Tem interesse também em abordar segurança no IOS?

Não..

[Vindouro]

@Baboo

 [Novato no fórum. Qualquer regra quebrada, por favor, avisar para que possa me localizar corretamente onde publicar futuras dúvidas]

 Conteúdo Android

 Estaria tirando o foco do site. Apesar de interessante, o site faria muito mais pessoas se sentirem perdidas quanto ao conteúdo a se extrair daqui, pois originalmente surgiu apenas pensando em computadores, e a marca/pessoa "Baboo" são praticamente a mesma coisa. Não só isso, como tornaria-se mais um dentre tantos sites de tecnologia sem foco específico em suas explicações em áreas que pode não entender bem, sem falar que a comunidade de computador e celular são completamente diferentes, sendo um mais profissional e o outro como distração. Celulares são feitos para amadores desinteressados pelo descobrimento e apenas ao prazer.

Segurança do Android

 A respeito da segurança do Android fica meio redundante. Sistemas Linux também não permitem total controle aos antivírus, apenas permitindo acesso via Root, cabendo ao cuidado do usuário, assim como é possível no celular. Não existe praticidade nele, mas assim como no Windows, toda segurança é mais específica. Sistemas Android passaram a ter mais problemas por suas dependências de NFC e Google Play Store. No Android, o próprio sistema e Google Play Services tentam interagir como um Antivírus, oferecendo melhores atualizações de segurança através de suas atualizações modulares, que no caso, são como um aplicativo. De fato, Android é seguro por padrão, e arquivos mais mal intencionados que controlam o sistema precisam passar pelo SELinux, requerida pelo Android 5.0 para os desenvolvedores OEM e aplicada corretamente no Android 6.0. É até raro ver algum problema envolvendo o dispositivo em si senão alguma funcionalidade mal intencionada em que o próprio usuário permitiu, como as inúmeras versões piratas de WhatsApp no passado ou alguns aplicativos para filtros em fotos que acessam a galeria constantemente, e de vez em quando, localização, mas isso também pelo próprio usuário. 

 Antivírus no Android pode ser considerado desnecessário, pois o sistema em si é corrigido, diferente do Windows, que depende muito do Windows Defender. Inclusive, a grande maioria dos usuários instalam à partir da Google Play Store, onde foi aprimorada com o padrão de arquivo AAB, feitas para funcionarem corretamente conforme os requerimentos da Play Store e do que a versão do sistema (SDK) pode fazer. Caso queira maior segurança, aplicações de Firewall existem, como AdAway, que ficam ainda melhores com root, mas infelizmente afetam alguns aplicativos de banco. O mesmo com tráfego de dados, mas funcionam corretamente e os existentes na Play Store são limitados por razões desconhecidas. De qualquer forma, muitas pessoas não se importam com privacidade ou segurança no computador, quem dera no celular, pois tudo o de mais importante está em empresas, não no bolso.

Espero que possa aprender mais sobre o universo do Android, mas evite se distanciar de sua essência. 

Editado 9/Fev por Vindouro

Observação: Segundo subtítulo foi editado

[JohanBach]

22 horas atrás, Vindouro disse:

@Baboo

 [Novato no fórum. Qualquer regra quebrada, por favor, avisar para que possa me localizar corretamente onde publicar futuras dúvidas]

 Conteúdo Android

 ...sem falar que a comunidade de computador e celular são completamente diferentes, sendo um mais profissional e o outro como distração. Celulares são feitos para amadores desinteressados pelo descobrimento e apenas ao prazer.

 

Pensar desta maneira é um erro enorme. Celulares são uma ferramenta poderosa dentro do ambiente empresarial. Tire todos os celulares de dentro da empresa e verá o que acontece. E se esses aparelhos estão dentro da rede da empresa, eles precisam ser levados em conta na hora de prover um sistema de segurança. Do contrário eles serão um calcanhar de aquiles para a rede, podendo comprometer a segurança de toda a rede.

 

22 horas atrás, Vindouro disse:

É até raro ver algum problema envolvendo o dispositivo em si senão alguma funcionalidade mal intencionada em que o próprio usuário permitiu, como as inúmeras versões piratas de WhatsApp no passado ou alguns aplicativos para filtros em fotos que acessam a galeria constantemente, e de vez em quando, localização, mas isso também pelo próprio usuário. 

 Antivírus no Android pode ser considerado desnecessário, pois o sistema em si é corrigido, diferente do Windows, que depende muito do Windows Defender...

Aqui demonstra inocência ou não conhecer muito bem o sistema, pois basta uma rápida busca por android vulnerabilities para descobrirmos vários pontos onde houve falhas. Ou ainda, resumir a segurança de um sistema em antivírus, sendo que este é apenas um pilar da segurança. Quem realmente conhece sobre segurança de Ti sabe que jamais resumirá segurança em um antivírus mas sim vai pensar em camadas de segurança.

 

Eu não estou querendo dizer que o Baboo deve abordar segurança em Android (embora eu votei em Sim). Mas os motivos que você coloca aqui não condizem com a realidade.

[Vindouro]

@JohanBach

 Não comento apenas sobre empresas, mas usuários em geral. E, mesmo em empresas, são usados de maneira incorreta, seja para distrações ou mal uso de ferramentas que eram para encurtar tempo. Não descartei a importância deles em situações onde realmente importam e sei o quanto a segurança no dispositivo é importante. Apenas digo que, a produtividade e maior concentração das empresas se baseia em computadores e celulares são muitas das vezes levados a meros dispositivos para coisas fúteis para todos os usuários de dispositivos móveis hoje em dia sem ao menos saber sobre o que podem fazer com ele via root.

 A segurança do Android não é a prova de falhas, mas todas são remetentes apenas ao nível de superfície, que no caso, são permissões dadas pelo próprio usuário, não sob total controle do dispositivo, como Pegasus, feito pelo governo. Mas sim, a grande parte das vulnerabilidades não são de extrema urgência. Essas matérias exageram em grande parte, categorizando aplicativos com permissões pouco acima de suas permissões como vírus, não em algo que espiona o usuário de todas as maneiras, como o TikTok, sendo um verdadeiro exemplo de malware, onde utiliza de todas as funções possíveis disponíveis do próprio sistema para rastrear o usuário, não alguma linha de código ou permissão que burla os limites do que é capaz de fazer. O aplicativo deixa bem claro em suas permissões.

 Não baseei a segurança apenas em um antivírus, mas como o Baboo fez a colocação como se fosse apenas isso, então apenas comentei sobre uma coisa sem sair fora do tópico. Sei sobre a segurança ser importante, e sempre que puder, é o melhor até mesmo para aqueles usuários que não se importam muito, mas infelizmente o acesso a tecnologia para aqueles que usam para passar tempo torna tais funções descartáveis. Portanto, apenas empresas grandes deveriam se interessar em um aparelho Android com máxima segurança, sendo aqueles mais atingidos no final, assim como em computadores. Inclusive, as empresas tão sabem quanto a computadores serem melhores para trabalho que nem mesmo em grandes hospitais (exemplo, Unimed) possuem celulares próprios para a empresa, pois sabem que pessoas são muito mais leigas em computadores e apenas usam para acessar o navegador em grande parte das vezes e não se responsabilizam pelo dispositivo pessoal do funcionário. Caso possuam, então que alguém possa assegurar máxima segurança, como não dar a permissão para o usuário instalar o que bem entender. Inclusive, a maioria dos vírus se obtém por engenharia social, o que dependem mais da pessoa. 

 Antivírus são necessários até certo ponto, mas dar total controle a algum aplicativo é o mesmo que instalar um Trojan. Nem sempre apenas instalar um aplicativo para proteger o dispositivo é o melhor e é exatamente a colocação que fiz. Seria interessante aprender mais sobre o sistema, e por isso, precisaria colocar outros aspectos do por que vulnerabilidades não podem simplesmente ser resolvidas com uma solução simples. Infelizmente, muitas coisas poderosas requerem root, o que impede outras funcionalidades do Android, como aplicativos de banco. Então, acaba sendo uma luta para fazer um celular funcionar corretamente e da maneira desejada. Assegurar um servidor próprio acaba sendo a solução mais definitiva.

 Adoraria aprender mais e talvez tenha errado em algum momento. Estou dizendo baseado em fóruns de Android e em pessoas que usam desses métodos. 

Grato por responder!

Editado 12/Fev por Vindouro

Pequeno erro em: A segurança do Android (não) é a prova de falhas

[JohanBach]

Por favor, não me leve a mal, mas novamente você generalizou a questão dos celulares em ambientes empresariais e também mostrou uma certa inocência sobre Android e segurança. Esse é um dos motivos de ser a favor do Baboo abordar a segurança no Android, desmistificar alguns conceitos amplamente divulgados e incorretos. 

[Vindouro]

@JohanBach

 Generalizações são necessárias para comprovar a maioria. Inclusive, basta observar em qualquer empresa quanto ao mal uso de celulares. Claro, empresas que realmente possuem algo a perder, como em bancos, então essa segurança é mais comum. O Bradesco é um exemplo disso! Não sei em que momento mostrei "inocência" e gostaria que me apontasse isso, pois Android é algo em que muitos sites abordam mal sobre seus problemas de segurança, com os quais muitas das vezes são corrigidos através de atualizações modulares feitos pelo Google Play Services a partir do Android 10, o que é diferente de atualizações de segurança OEM. Infelizmente não são perfeitas, mas diminuíram drasticamente para aplicações obterem acesso a falhas, como colocado pelo próprio time do Android. Inclusive, os dispositivos se tornaram 64 bits nesse período.

 Nenhum aplicativo possui sequer permissões quando o aparelho está em root. Tais aplicativos possuem certas permissões para acessar o controle do dispositivo. Partições AB asseguram ainda mais isso. De qualquer maneira, qualquer aplicativo que se recuse a ser removido normalmente ou esteja causando grandes falhas pode ser removido ativando o Modo de Segurança. Nem mesmo aplicativos root possuem a permissão de funcionar sem o desbloqueio do usuário desde o Android 9 ou Android 10. 

 E bem, o Baboo pode entender sobre Windows, mas não sobre Android. Seria bom se soubesse, mas é necessário suspeitar se até mesmo das informações que ele passar (se isso acontecer). 

Por último, gostaria de apontar uma incoerência:

Em 10/02/2024 at 15:22, JohanBach disse:

Eu não estou querendo dizer que o Baboo deve abordar segurança em Android (embora eu votei em Sim).

1 hora atrás, JohanBach disse:

Esse é um dos motivos de ser a favor do Baboo abordar a segurança no Android,...

 Poderia explicar o que quis dizer?

Editado 12/Fev por Vindouro

[JohanBach]

Não houve incoerência, apenas falta de interpretação de texto.

Eu quis dizer que o Baboo não tem a obrigação de abordar segurança em Android só porque eu e alguns queremos, afinal, o site é dele. Mas eu votei que aborde por haver grandes desinformações, como as que você escreveu. E isso precisa ser combatido. 

Editado 12/Fev por JohanBach

[Baboo]

Pessoal:

1. Evitem postar informações desnecessárias que são claramente copy/paste do ChatGPT ou outra IA

2. Todos nós usamos smartphones, e pelo Android ser uma plataforma muito mais limitada do que o Windows, assuntos de segurança nela são muito mais simples (não precisando de um "especialista" para isso) e por isso acho útil abordá-las. Por eu ter foco em segurança digital e usar Android há mais de 10 anos, e sabendo que muitas falhas nas empresas começam pelos smartphones dos funcionários, eu acho perfeitamente válido abordar segurança no Android - mas antes de fazer isso, eu gosto de saber a opinião daqueles que usam o BABOO e conhecem meu trabalho  

[Vindouro]

@Baboo

 Isso se for possível orientar funcionários ou realmente assegurar um aparelho Android funcional caso um técnico for fazer o serviço. São realmente simples, o que pode não fazer diferença. Talvez aprenda algo desconhecido e eficiente caso você ensine sobre. Apenas não parece haver formas eficientes de proteger os dispositivos se não for com métodos mais avançados e espionar seus usuários.

 Não está sendo descredibilizado pela sua experiência de cybersegurança e apenas espero ótimos conteúdos vindos de quem é respeitado por seu conhecimento em Windows. Só é inusitado ver alguém desde há muito tempo atrás demonstrando foco em apenas uma plataforma.

Editado 13/Fev por Vindouro

[Baboo]

21 horas atrás, Vindouro disse:

Só é inusitado ver alguém desde há muito tempo atrás demonstrando foco em apenas uma plataforma

Sim, mas acho viável e (principalmente) muito útil os internautas saberem o que um profissional de segurança (independentemente da sua área) faz no seu próprio smartphone para evitar problemas de segurança, uma vez que eles já sabem o que usuários comuns e youtubers fazem..

[Luis Sousa]

Olá, embora já tenha formação a nível de smartphone e outros SO por um especialista em cybersecurity que tem mais de 30 anos de experiência é sempre bom aprender cada dia mais principalmente vindo da parte do Baboo que é sem dúvida um grande especialista em Windows como em cybersecurity. 

Os smartphones e mesmo telefones fixos estão sobre controle dos Governos, NSA, CIA, Interpol, e até mesmo as operadoras praticamente no mundo todo o que podemos fazer é mitigar o melhor possível.

Há países que para obter uma carta SIM só apresentando a carta identidade o número fica ligada a ela só são vendidas em lojas oficiais isso para evitar ataques terroristas.