Характеристики

AGM M7: непревзойденный антисмартфон

AGM M7 — это бюджетный полусмартфон, который практически не ломается и выглядит как что-то из эпохи до появления смартфонов, но предлагает гораздо больше.Те, кто ищет смартфон, будут разочарованы, но те, кто ищет что-то уникальное, сочтут этот гибридный зверь привлекательным.

• Бренд: AGM
• Хранение: 8 ГБ
• Процессор: MediaTek MT6739
• Память: 1 ГБ
• Операционная система: Android 8.1 (Пользовательский)
• Аккумулятор: 2500mAh (TYP), съемный
• Порты: USB2.0 Type-C
• Камера (задняя, ​​передняя): 2M / 0,3M
• Дисплей (размер, разрешение): 2.4-дюймовая сенсорная панель QVGA

• Практически не ломается
• Аккумулятор работает 4 дня, заменяемый
• Невероятно громкий динамик
• Dual-SIM и возможность расширения с помощью SD-карты

• Нет интеграции с Play Store или учетной записью Google
• Неуклюжий набор
• Приложения Facebook, Tiktok и браузера плохо реализованы

Магазин

Смартфоны дополняют современную жизнь.Их яркие сенсорные дисплеи ввода доставляют бесконечные источники мультимедиа из сотен приложений прямо в наши карманы. Если смартфоны менее надежны и имеют более короткое время автономной работы, чем мобильные телефоны, которые им предшествовали, компромисс, похоже, того стоит.

AGM M7 хочет отличаться. На первый взгляд кажется антисмартфоном. Прочный кирпич, который возвращает нас к эпохе до появления смартфонов, с большими сенсорными кнопками, сменной батареей, работающей на 4 дня, и рейтингом IP 69k — все это всего за 100 долларов.

Однако этот телефон не является полным возвратом, поскольку он оснащен модифицированной версией Android 8.1, а его цветной дисплей также представляет собой небольшой сенсорный экран. О, и еще у него сзади есть массивный динамик мощностью 3,5 Вт.

AGM M7 — странный, но замечательный, громкий и небьющийся полусмартфон, но подходит ли он вам?

AGM M7: первые впечатления

Отличительной чертой телефонов AGM является их прочная, почти небьющаяся конструкция, и M7 не исключение.Для своего форм-фактора он большой. Его высота 14 см, это на волосок меньше, чем у Google Pixel 4a, но его толщина почти 2 см. Он коренастый.

Этот размер вмещает большие тактильные кнопки и текстурированный, удобный для захвата внешний вид. Вы также получаете определяемую пользователем кнопку на левой стороне вместе со светодиодным фонариком, установленным сверху, что делает его гораздо более практичным, чем обычные фонарики для смартфонов.

Стеклянные экраны по-прежнему могут стать причиной отказа для защищенных телефонов, поэтому меньшая площадь стекла в целом, вероятно, является преимуществом для M7.У него есть камеры, но мы вернемся к ним позже, так как определяющей особенностью является задний динамик мощностью 3,5 Вт. Я никогда раньше не видел ничего подобного в телефоне, но перспектива сверхгромкого звонка, который можно услышать даже из-за оборудования или ненастной погоды, многим понравится.

Аккумуляторный отсек хорошо спроектирован. После снятия крышки перед вами появляется еще одна съемная композитная пластиковая пломба, защищающая аккумулятор.

Съемные батареи в защищенном телефоне — это то, что вызывает восхищение, но это также связано с проблемой, о которой мы поговорим позже в обзоре.

Это Android, но не такой, как вы его знаете

Сопряженная версия Andoird 8.1, поставляемая с M7, поддерживает Bluetooth, Wi-Fi и может использоваться в качестве точки доступа для других устройств. Он также включает версии WhatsApp, Facebook, TikTok, Skype и Zello, а также некоторые стандартные приложения для календаря, часов, записи звука и FM-радио. Здесь нет игрового магазина, поэтому в телефоне есть то, что вы получаете, и некоторые вещи работают немного лучше, чем другие.

Что необычно для устройства Android, вы не можете войти в свою учетную запись Google, что затрудняет перенос контактов и синхронизацию календаря без использования USB-соединения или хранения данных на вашей SIM-карте.

Скорее всего, это продукт упрощенной сборки Android, но за пределами этого такие вещи, как подключение и настройка, идентичны стандартному Android.

Насколько прочен сейчас?

AGM имеет степень защиты IP69k, что означает, что он полностью защищен от проникновения пыли, водонепроницаем на глубине до 2 метров под водой и способен выдерживать падения с высоты до 2 метров.Также работает от -20С до 60С.

В тестах на падение M7 оказался твердым. Потребовалось несколько царапин и небольшая вмятина на решетке динамика, но телефон ни разу не вздрогнул и не перезапустился при падении. Крышка батарейного отсека иногда отрывалась, но вторая крышка удерживала батарею в целости и сохранности.

Телефон также выжил, когда его «забыли» в озере, использовали в качестве лопаты для грязи и большую часть дня бросал неистовый малыш.

Телефон также соответствует стандарту MIL-STD-810H, который звучит модно, но на самом деле не имеет ничего общего с военными напрямую и настолько не регулируется, что это бессмысленный показатель прочности.

Однако на самом деле это не проблема, поскольку AGM серьезно относится к надежности. Это отличительная черта их телефонов, и снова кажется, что они ее прибили. Этот телефон переживет то, чего нет у меня.

Что хорошего в AGM M7?

На первый взгляд, AGM M7 — это простой телефон, рассчитанный на длительное время автономной работы, превосходную производительность и высокий уровень шума.Он отлично справляется со всеми этими задачами, и телефон, который выглядит как телефон до эпохи смартфона с WhatsApp, Skype и приложением Zello push-to-talk (с боковой кнопкой для передачи по умолчанию), хорошо подходит.

Верхний светодиодный индикатор яркий, и его расположение делает его действительно полезным фонариком по сравнению с другими телефонами. Даже в заблокированном состоянии длительное нажатие кнопки нуля включает фонарик, а клавиатуру можно использовать даже в толстых перчатках.

Динамик очень громкий, не искажается даже на большой громкости и дает максимально округлый звук, насколько это возможно для устройства такого размера.

Зарядная док-станция является полезным дополнением, хотя она является дополнительной, доступной за дополнительные 9,90 долларов США от AGM, а мой M7 поставлялся с довольно приличным набором бюджетных водонепроницаемых наушников Bluetooth, произведенных совместно JBL и AGM. Я не уверен, идут ли они с каждой покупкой, но это было приятно.

Что плохого в AGM M7?

Камера.В общем. Низкокачественные камеры в сочетании с цветными экранами низкого качества были не более чем уловкой, когда они появились более десяти лет назад, и это ничем не отличается. Это могло быть функциональным способом делать быстрые заметки при хорошем освещении, но не более того.

Съемный аккумулятор — отличная идея, и я аплодирую AGM за то, что он работает в телефоне с классом защиты IP69k. Единственная проблема заключается в том, что, похоже, нет никакого способа получить запасные батареи от AGM. Они не указаны на их веб-сайте, а их веб-сайт послепродажного обслуживания в ЕС выдает ошибку 404.Я уверен, что AGM сможет их предоставить, но на момент записи этого обзора я не получил ответа на электронное письмо, которое я отправил в сервисную группу, хотя прошло всего несколько дней.

Отсутствие интеграции с Play Store или учетной записью Google может показаться вам плохим, но, честно говоря, M7 рекламирует этот факт на странице покупки. Недостатки M7 связаны не с тем, чего ему не хватает. Вместо этого они являются продуктом плохой интеграции того, что есть. Я не совсем уверен, что более «умные» элементы этого телефона вообще претерпели значительные изменения.

Вы можете просматривать, но вам это не понравится

Когда мобильные телефоны изначально начали добавлять базовые браузеры в свою прошивку, они были в принципе неплохой идеей, но функционально практически непригодны. Спустя пятнадцать лет M7 попадает в эту ловушку по разным причинам.

Браузер работает для базового поиска, и вы даже можете войти в свои почтовые службы, посмотреть YouTube и включить режим рабочего стола для входа в различные службы.Проблема здесь в экране. Просто он слишком маленький и с низким разрешением, чтобы действительно работать. Добавьте к этому тот факт, что браузеру требуется частое использование сенсорного экрана для доступа к некоторым кнопкам и элементам выбора, и он быстро становится чем-то, что вы будете использовать только в крайнем случае.

То же самое и с приложениями TikTok и Facebook: отличные идеи в принципе, но не очень увлекательные в использовании с комбинацией небольшого экрана и клавиатуры.

Demon Texters 90-х будут разочарованы

В общем, печатать на этом телефоне больно.Теперь я уверен, что некоторые из вас думают: «Конечно, это клавиатура». Это честно.

Но для людей определенного возраста набор текста с клавиатуры был нормой. Когда я был подростком, казалось бы, революционная технология, называемая предиктивным отправлением сообщений T9, позволяла писать сообщения намного быстрее. Вместо того, чтобы выбирать каждую букву по отдельности, вы можете нажать каждую буквенную клавишу один раз, и телефон будет предсказывать слова из возможных комбинаций букв и вставлять их на место, позволяя вам изменить их постфактум, когда он ошибся.

У M7 есть предложения слов, но они появляются постфактум, и у него нет единственного ввода нажатия клавиш. Я знаю, что для некоторых это может не быть проблемой — T9 был популярен в течение относительно небольшого отрезка времени, некоторые пожилые люди никогда не принимали его, а некоторые молодые люди даже не слышали о нем.

Я могу только предположить, что это имело место в группе AGM, поскольку при сравнении пользовательского опыта набора текста с телефонами, выпущенными 20 лет назад, это огромный шаг назад и упущенная возможность.Эмуляция T9 для Android уже существует, я не знаю, почему ее здесь нет.

Если у этого телефона есть один общий недостаток, то это реализация Android, которую он использует. Он явно по-прежнему смещен в сторону сенсорного экрана, и в результате страдает клавиатура. Это не проблема при использовании M7 как олдскульного мобильного телефона, просто умные элементы в целом кажутся немного неуклюжими. Дело в том, что как только вы оправдаете свои ожидания, даже эти, казалось бы, вопиющие недостатки не имеют большого значения.

Критика элементов M7 не меняет общего впечатления — от чего я не ожидал получить удовольствие, но основательно сделал и до сих пор получаю.

AGM M7: Вердикт

Во время этого обзора стало ясно, что телефон, который стоит одной ногой в эпоху мобильных телефонов и одну ногу в эпоху смартфонов, никогда не сможет противостоять ни одному из них по отдельности, особенно при цене в 100 долларов.

Через пару дней недостатки были в основном забыты, и этот гибридный монстр телефона стал обретать смысл.Он не заменит смартфон, и я даже не уверен, что он станет хорошим телефоном для людей, не разбирающихся в технологиях, или пожилых людей, но я все еще использую его, и я думаю, что все сводится к тому, что предлагает M7. .

Для некоторых людей ограничения освобождают. Мы привыкли к тому, что цифровой мир всегда находится в наших руках, и особенно трудно вырваться из него, когда вы фрилансер и не понимаете здорового рабочего дня!

В течение 9 дней, когда я просматривал этот телефон, я носил свой смартфон в выключенном состоянии на всякий случай, если он мне понадобится.Оказывается, не промахнулся, а после третьего дня даже не пропустил. AGM M7 убирает все, а затем добавляет несколько необходимых вещей. Да, интеграции Tiktok и Facebook неуклюжи, и да, браузер и ввод текста — беспорядок, но он достаточно функциональный, чтобы использовать его в крайнем случае.

Я загрузил в память альбомы, которые собирался слушать много лет назад, фактически выборочно загружал подкасты, а не просто слушал то, что только что есть.Я относительно быстро избавился от ощущения, что мне нужно задокументировать каждый интересный аспект жизни с помощью фотографий, которые я, вероятно, никогда больше не буду смотреть.

Приятно не беспокоиться о времени автономной работы, приятно знать, что я могу просто бросить его в рюкзак и отправиться кататься, бегать или даже плавать, и знать, что не только телефон будет в порядке, но и проверять электронную почту, Slack или тратить время на Reddit даже нереально, несмотря на то, что у меня есть полностью подключенный телефон Android.

Это не ретро-возврат, но и не совсем смартфон. AGM M7 уникален, и для некоторых людей он представляет собой желаемый баланс. Понятия не имею, имели ли это в виду AGM, когда добавляли эту безумную комбинацию функций в телефон, но у меня это работает.

AGM M7

Ян Бакли — независимый журналист, музыкант, исполнитель и видеопродюсер, живущий в Берлине, Германия.Когда он не пишет или не на сцене, он возится с электроникой или кодом своими руками в надежде стать безумным ученым.

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Пожалуйста, подтвердите свой адрес электронной почты в письме, которое мы вам только что отправили.

Разверните, чтобы прочитать всю историю

HTC — One (M7) 4G сотовый телефон — синий (Verizon Wireless) [6500LVWBLU] — 113,59 долл. США: разблокированные сотовые телефоны, GSM, CDMA и др.

HTC One M7 — один из самых впечатляющих смартфонов, когда-либо появлявшихся на рынке. Он отличается элегантным дизайном и 4,7-дюймовым экраном с потрясающим разрешением.Это мечта смотреть фото и смотреть видео на телефоне. У него отличные углы обзора, он красивый и яркий. В телефоне также есть качественные динамики, поэтому, если вы слушаете видео или музыку без наушников, у вас все равно будет хороший опыт.

Пользователи обнаружат, что телефон обеспечивает 19 часов разговора без подзарядки. Конечно, использование видео, игр и других приложений может привести к более быстрому разряду батареи. Тем не менее, 2300 мАч обладают феноменальной емкостью, и этого должно быть более чем достаточно для большинства пользователей.

Процессор 1,7 ГГц позволяет телефону быстро выполнять задачи, что делает его одним из самых быстрых телефонов на рынке. Базовая модель HTC One M7 имеет 32 ГБ встроенной памяти, что должно быть достаточно места для тех пользователей, которые хотят хранить фотографии, видео и музыку. Камера предлагает светодиодную вспышку, режим серийной съемки, автофокус, цифровой зум, геотегирование, захват HDR, оптическую стабилизацию изображения и другие функции, что делает ее отличной для тех, кто любит фотографировать.

Телефон, безусловно, один из самых популярных на рынке, и это уже давно.Технические характеристики, наряду с дизайном, помогают выделить его в многолюдном поле.

OWASP Mobile Top 10

В 2015 году мы провели опрос и инициировали запрос на предоставление данных по всему миру.Это помогло нам проанализировать и повторно классифицировать десятку лучших мобильных приложений OWASP за 2016 год. Таким образом, десять самых популярных категорий теперь больше ориентированы на мобильные приложения, чем на серверы.

Наши цели в списке на 2016 год:

• Обновления содержимого вики; включая перекрестные ссылки на руководства по тестированию, дополнительные наглядные упражнения и т. д .;
• Генерация дополнительных данных; и
• PDF-релиз.

Этот список был окончательно доработан после 90-дневного периода обратной связи от сообщества.Основываясь на отзывах, мы выпустили список Mobile Top Ten 2016, следуя аналогичному подходу к сбору данных, сгруппировав данные логическим и последовательным образом.

Не стесняйтесь посетить список рассылки!

Мы строго придерживались методологии проекта OWASP Web Top Ten.

• Список ниже — это СТАРЫЙ релиз-кандидат v1.0 из 10 лучших мобильных рисков OWASP. Этот список был первоначально опубликован 23 сентября 2011 года на Appsec USA.
  • Исходную презентацию можно найти здесь: СЛАЙДЫ
  • Соответствующее видео можно найти здесь: ВИДЕО

10 лучших мобильных устройств управления

OWASP и Европейское агентство сетевой и информационной безопасности (ENISA) совместно разработали совместный набор средств контроля.ENISA опубликовала результаты совместных усилий как «Руководство по безопасной разработке смартфонов», которое опубликовано в 2011 году по адресу: https://www.enisa.europa.eu/publications/smartphone-secure-development-guidelines/at_download/fullReport . В 2017 году ENISA опубликовала обновление по адресу https://www.enisa.europa.eu/publications/smartphone-secure-development-guidelines-2016.

Этот документ был разработан совместно с ENISA, а также следующими лицами:

• Vinay Bansal, Cisco Systems
• Надер Хенейн, Research in Motion
• Джайлс Хогбен, ENISA
• Karsten Nohl, Srlabs
• Джек Маннино, nVisium Security
• Кристиан Папатанасиу, Королевский банк Шотландии
• Стефан Рюпинг, Infineon
• Beau Woods, Stratigos Security

1.Выявление и защита конфиденциальных данных на мобильном устройстве

Риски : Небезопасное хранилище конфиденциальных данных, атаки на списанные телефоны, непреднамеренное раскрытие: мобильные устройства (будучи мобильными) имеют более высокий риск потери или кражи. Должна быть встроена соответствующая защита, чтобы свести к минимуму потерю конфиденциальных данных на устройстве.

• 1.1 На этапе проектирования классифицируйте хранилище данных в соответствии с конфиденциальностью и примените соответствующие элементы управления (например, пароли, личные данные, местоположение, журналы ошибок и т. Д.)). Обработка, хранение и использование данных в соответствии с их классификацией. Проверьте безопасность вызовов API, применяемых к конфиденциальным данным.
• 1.2 Храните конфиденциальные данные на сервере, а не на клиентском устройстве. Это основано на предположении, что безопасное сетевое соединение достаточно доступно и что механизмы защиты, доступные для хранилища на стороне сервера, лучше. Относительная безопасность клиентской и серверной безопасности также должна оцениваться в каждом конкретном случае (см. Оценку рисков облака ENISA (3) или топ-10 облачных вычислений OWASP (4) для поддержки принятия решений).
• 1.3 При хранении данных на устройстве используйте API шифрования файлов, предоставляемый ОС или другим доверенным источником. Некоторые платформы предоставляют API-интерфейсы шифрования файлов, которые используют секретный ключ, защищенный кодом разблокировки устройства и удаляемый при удаленном уничтожении. Если он доступен, его следует использовать, поскольку он повышает безопасность шифрования, не создавая дополнительной нагрузки для конечного пользователя. Это также делает хранимые данные более безопасными в случае потери или кражи. Однако следует иметь в виду, что даже при защите с помощью ключа разблокировки устройства, если данные хранятся на устройстве, его безопасность зависит от безопасности кода разблокировки устройства, если удаленное удаление ключа по какой-либо причине невозможно. .
• 1.4 Не храните / не кешируйте конфиденциальные данные (включая ключи), если они не зашифрованы и, если возможно, хранятся в защищенной от взлома области (см. Элемент управления 2).
• 1.5. Рассмотрите возможность ограничения доступа к конфиденциальным данным на основе контекстной информации, такой как местоположение (например, приложение-кошелек нельзя использовать, если данные GPS показывают, что телефон находится за пределами Европы, ключ от машины можно использовать только в пределах 100 м от машины и т. Д.).
• 1.6 Не храните исторические данные GPS / трекинга или другую конфиденциальную информацию на устройстве сверх периода, необходимого для работы приложения (см. Элементы управления 1.7, 1.8).
• 1.7 Предположим, что общее хранилище не является доверенным — информация может легко неожиданным образом просочиться через любое общее хранилище. В частности:
  • Помните о кешах и временном хранилище как о возможном канале утечки при совместном использовании с другими приложениями.
  • Имейте в виду, что общедоступные общие хранилища, такие как адресная книга, медиа-галерея и аудиофайлы, являются возможным каналом утечки. Например, хранение изображений с метаданными местоположения в медиа-галерее позволяет передавать эту информацию непреднамеренным образом.
  • Не храните временные / кэшированные данные во всемирно доступном каталоге.
• 1.8 Для конфиденциальных личных данных удаление должно быть запланировано в соответствии с максимальным сроком хранения (чтобы предотвратить, например, сохранение данных в кэше на неопределенный срок).
• 1.9 В настоящее время не существует стандартной процедуры безопасного удаления флеш-памяти (кроме очистки всего носителя / карты). Поэтому шифрование данных и безопасное управление ключами особенно важны.
• 1.10 Учитывайте безопасность всего жизненного цикла данных при написании вашего приложения (сбор по сети, временное хранилище, кэширование, резервное копирование, удаление и т. Д.)
• 1.11 Применяйте принцип минимального раскрытия информации — собирайте и раскрывайте только те данные, которые необходимы для использования приложения в бизнесе. Определите на этапе проектирования, какие данные необходимы, их конфиденциальность и целесообразно ли собирать, хранить и использовать каждый тип данных.
• 1.12 По возможности используйте непостоянные идентификаторы, которые не передаются другим приложениям — например, не используйте идентификационный номер устройства в качестве идентификатора, если для этого нет веской причины (используйте случайно сгенерированный номер — см. 4.3). Применяйте те же принципы минимизации данных к сеансам приложений, что и к сеансам http / cookie и т. Д.
• 1.13 Приложения на управляемых устройствах должны использовать API удаленной очистки и уничтожения, чтобы удалить конфиденциальную информацию с устройства в случае кражи или потери. (Экстренный выключатель — это термин, используемый для обозначения на уровне ОС или специально созданных средств удаленного удаления приложений и / или данных).
• 1.14 Разработчики приложений могут захотеть включить в свои продукты специальный «переключатель отключения данных», чтобы при необходимости разрешить удаление конфиденциальных данных приложения для каждого приложения (для защиты от неправомерного использования такой функции требуется строгая проверка подлинности).

2. Безопасная обработка паролей и учетных данных на устройстве

Риски : шпионское ПО, слежка, финансовое вредоносное ПО. В случае кражи учетные данные пользователя не только обеспечивают несанкционированный доступ к серверной мобильной службе, но и потенциально могут поставить под угрозу многие другие службы и учетные записи, используемые пользователем. Риск увеличивается из-за широкого распространения повторного использования паролей в разных сервисах.

• 2.1 Вместо паролей рассмотрите возможность использования более долгосрочных токенов авторизации, которые можно безопасно хранить на устройстве (в соответствии с моделью OAuth).Зашифруйте токены в пути (используя SSL / TLS). Токены могут быть выпущены серверной службой после проверки Руководства по безопасной разработке смартфонов для разработчиков приложений  учетные данные пользователя изначально. Токены должны быть привязаны по времени к конкретной службе, а также быть отзывными (если возможно, на стороне сервера), чтобы минимизировать ущерб в сценариях потерь. Используйте последние версии стандартов авторизации (например, OAuth 2.0). Убедитесь, что срок действия этих токенов истекает как можно чаще.

• 2.2 В случае, если пароли необходимо хранить на устройстве, используйте механизмы шифрования и хранения ключей, предоставляемые мобильной ОС, для безопасного хранения паролей, эквивалентов паролей и токенов авторизации. Никогда не храните пароли в виде открытого текста. Не храните пароли или долгосрочные идентификаторы сеансов без соответствующего хеширования или шифрования.
• 2.3 Некоторые устройства и надстройки позволяют разработчикам использовать Secure Element, например (5) (6) — иногда через модуль SD-карты — количество устройств, предлагающих эту функцию, вероятно, увеличится.Разработчики должны использовать такие возможности для хранения ключей, учетных данных и других конфиденциальных данных. Использование таких защищенных элементов обеспечивает более высокий уровень гарантии со стандартной зашифрованной SD-картой, сертифицированной по стандарту FIPS 140-2 уровня 3. Использование SD-карт в качестве второго фактора аутентификации, хотя и возможно, не рекомендуется, однако, поскольку это становится псевдо-неотделимая часть устройства после вставки и фиксации.
• 2.4 Предоставьте мобильному пользователю возможность изменять пароли на устройстве.
• 2.5. Пароли и учетные данные следует включать только как часть обычных резервных копий в зашифрованном или хешированном виде.
• 2.6 Смартфоны предлагают возможность использования визуальных паролей, которые позволяют пользователям запоминать пароли с более высокой энтропией. Однако их следует использовать только в том случае, если может быть обеспечена достаточная энтропия. (7)
• 2.7 Визуальные пароли, основанные на смахивании, уязвимы для smudge-атак (использование жировых отложений на сенсорном экране для подбора пароля). Такие меры, как разрешение повторения шаблонов, должны быть введены для предотвращения атак размазывания.(8)
• 2.8 Проверить энтропию всех паролей, в том числе визуальных (см. 4.1 ниже).
• 2.9 Убедитесь, что пароли и ключи не отображаются в кэше или журналах.
• 2.10 Не храните пароли или секреты в двоичном файле приложения. Не используйте общий общий секрет для интеграции с серверной частью (например, пароль, встроенный в код). Бинарные файлы мобильных приложений можно легко загрузить и реконструировать.

3. Обеспечение защиты конфиденциальных данных при передаче

Риски : Атаки с использованием спуфинга сети, наблюдение.Большинство смартфонов могут использовать несколько сетевых механизмов, включая Wi-Fi, сеть провайдера (3G, GSM, CDMA и другие), Bluetooth и т. Д. Конфиденциальные данные, проходящие по незащищенным каналам, могут быть перехвачены. (9) (10)

• 3.1 Предположим, что сетевой уровень провайдера небезопасен. Современные атаки сетевого уровня могут расшифровать шифрование сети провайдера, и нет гарантии, что сеть Wi-Fi будет надлежащим образом зашифрована.
• 3.2 Приложения должны принудительно использовать сквозной безопасный канал (например, SSL / TLS) при отправке конфиденциальной информации по проводам / эфиру (например,грамм. с использованием Strict Transport Security — STS (11)). Это включает передачу учетных данных пользователя или других эквивалентов аутентификации. Это обеспечивает конфиденциальность и защиту целостности.
• 3.3 Используйте надежные и хорошо известные алгоритмы шифрования (например, AES) и соответствующую длину ключа (проверьте текущие рекомендации для используемого вами алгоритма, например, (12) стр. 53).
• 3.4 Используйте сертификаты, подписанные доверенными поставщиками CA. Будьте очень осторожны, разрешая самозаверяющие сертификаты. Не отключайте и не игнорируйте проверку цепочки SSL.
• 3.5 Для конфиденциальных данных, чтобы снизить риск атак типа «злоумышленник-посредник» (например, SSL-прокси, SSL-полосу), безопасное соединение должно устанавливаться только после проверки подлинности удаленной конечной точки (сервера). Этого можно достичь, убедившись, что SSL устанавливается только с конечными точками, имеющими доверенные сертификаты в цепочке ключей.
• 3.6 Пользовательский интерфейс должен максимально упростить пользователю определение действительного сертификата.
• 3.7 SMS, MMS или уведомления не должны использоваться для отправки конфиденциальных данных на мобильные конечные точки или с них.

Ссылка : Уязвимость Google учетных данных для входа в систему клиента на незащищенном Wi-Fi — 1

4. Правильно реализуйте аутентификацию пользователей, авторизацию и управление сеансами

Риски : Неавторизованные лица могут получить доступ к конфиденциальным данным или системам, обойдя системы аутентификации (логины) или повторно используя действительные токены или файлы cookie. (13)

• 4.1 Требовать соответствующую надежность аутентификации пользователя для приложения.Может быть полезно сообщить о надежности пароля при первом вводе. Сила используемого механизма аутентификации зависит от чувствительности данных, обрабатываемых приложением, и его доступа к ценным ресурсам (например, затрат денег).
• 4.2 Важно убедиться, что управление сеансом осуществляется правильно после начальной аутентификации с использованием соответствующих безопасных протоколов. Например, потребовать, чтобы учетные данные или токены аутентификации передавались с любым последующим запросом (особенно при предоставлении привилегированного доступа или модификации).
• 4.3 Используйте непредсказуемые идентификаторы сеанса с высокой энтропией. Обратите внимание, что генераторы случайных чисел обычно производят случайный, но предсказуемый результат для данного начального числа (т.е. для каждого начального числа создается одна и та же последовательность случайных чисел). Поэтому важно обеспечить непредсказуемое начальное число для генератора случайных чисел. Стандартный метод использования даты и времени небезопасен. Его можно улучшить, например, используя комбинацию даты и времени, датчика температуры телефона и текущих магнитных полей x, y и z.При использовании и объединении этих значений следует выбирать хорошо протестированные алгоритмы, которые максимизируют энтропию (например, повторное применение SHA1 может использоваться для объединения случайных величин при сохранении максимальной энтропии — при условии постоянной максимальной длины начального числа).
• 4.4 Используйте контекст, чтобы добавить безопасность аутентификации — например, IP-адрес и т. Д.
• 4.5 По возможности рассмотрите возможность использования дополнительных факторов аутентификации для приложений, предоставляющих доступ к конфиденциальным данным или интерфейсам, где это возможно — e.грамм. голос, отпечаток пальца (если есть), знакомые, поведение и т. д.
• 4.6 Используйте аутентификацию, которая связана с идентификатором конечного пользователя (а не с идентификатором устройства).

5. Обеспечьте безопасность серверных API (сервисов) и платформы (сервера)

Риски : атаки на серверные системы и потеря данных через облачное хранилище. Большинство мобильных приложений взаимодействуют с внутренними API-интерфейсами с помощью REST / веб-служб или проприетарных протоколов. Небезопасная реализация серверных API или служб, а также отсутствие защиты / исправлений серверной платформы позволит злоумышленникам скомпрометировать данные на мобильном устройстве при передаче на серверную часть или атаковать серверную часть через мобильное приложение.(14)

• 5.1 Выполните специальную проверку вашего кода на предмет непреднамеренной передачи конфиденциальных данных, любых данных, передаваемых между мобильным устройством и внутренними интерфейсами веб-сервера и другими внешними интерфейсами (например, местоположение или другая информация, включенная в метаданные файла).
• 5.2 Все серверные службы (веб-службы / REST) ​​для мобильных приложений должны периодически проверяться на наличие уязвимостей, например использование инструментов статического анализатора кода и инструментов фаззинга для тестирования и поиска недостатков безопасности.
• 5.3 Убедитесь, что внутренняя платформа (сервер) работает с усиленной конфигурацией с последними исправлениями безопасности, примененными к ОС, веб-серверу и другим компонентам приложения.
• 5.4 Обеспечьте ведение соответствующих журналов на серверной части для обнаружения инцидентов и реагирования на них, а также проведения криминалистической экспертизы (в рамках закона о защите данных).
• 5.5 Используйте ограничение скорости и дросселирование для каждого пользователя / IP-адреса (если доступна идентификация пользователя), чтобы снизить риск DDoS-атаки.
• 5.6 Тест на уязвимости DoS, при которых сервер может быть перегружен некоторыми вызовами ресурсоемких приложений.
• 5.7 Веб-службы, REST и API могут иметь уязвимости, аналогичные уязвимостям веб-приложений:
  • Выполните тестирование случая злоупотребления в дополнение к тестированию сценария использования
  • Выполните тестирование серверной веб-службы, REST или API для определения уязвимостей.

6. Безопасная интеграция данных со сторонними сервисами и приложениями

Риски : Утечка данных.Пользователи могут устанавливать приложения, которые могут быть вредоносными и могут передавать личные данные (или другие конфиденциальные сохраненные данные) в злонамеренных целях.

• 6.1 Проверить безопасность / аутентичность любого стороннего кода / библиотек, используемых в вашем мобильном приложении (например, убедиться, что они поступают из надежного источника, с поддержкой обслуживания, без внутренних троянов)
• 6.2 Отслеживайте все сторонние фреймворки / API, используемые в мобильном приложении, на предмет исправлений безопасности. Соответствующее обновление безопасности должно быть выполнено для мобильных приложений, использующих эти сторонние API / платформы.
• 6.3 Обратите особое внимание на проверку всех данных, полученных и отправленных в ненадежные сторонние приложения (например, программное обеспечение рекламной сети) перед обработкой в ​​приложении.

7. Обратите особое внимание на сбор и хранение согласия на сбор и использование данных пользователя

Риски : непреднамеренное раскрытие личной или частной информации, незаконная обработка данных. В Европейском Союзе получение согласия пользователя на сбор информации, позволяющей установить личность (PII), является обязательным.(15) (16)

• 7.1 Создайте политику конфиденциальности, регулирующую использование личных данных, и сделайте ее доступной для пользователя, особенно при выборе согласия.
• 7.2 Согласие можно получить тремя основными способами:
  • Во время установки
  • Во время выполнения при отправке данных
  • Через механизмы «отказа», в которых реализована настройка по умолчанию, и пользователь должен ее выключить.
• 7.3 Проверьте, собирает ли ваше приложение PII — это не всегда очевидно — например, используете ли вы постоянные уникальные идентификаторы, связанные с центральными хранилищами данных, содержащими личную информацию?
• 7.4 Проведите аудит механизмов связи для выявления непреднамеренных утечек (например, метаданных изображений).
• 7.5 Вести запись согласия на передачу PII. Эта запись должна быть доступна пользователю (учитывайте также важность сохранения записей на стороне сервера, прикрепленных к любым сохраненным данным пользователя). Сами такие записи должны минимизировать объем хранимых в них личных данных (например, с помощью хеширования).
• 7.6 Проверьте, не перекрывается ли ваш механизм сбора согласия или конфликтует (например, в заявленных методах обработки данных) с любым другим сбором согласия в том же стеке (например,грамм. APP-native + webkit HTML) и разрешите любые конфликты.

8. Внедрите меры для предотвращения несанкционированного доступа к платным ресурсам (кошелек, SMS, телефонные звонки и т. Д.)

Риски : приложения для смартфонов предоставляют программный (автоматический) доступ к телефонным звонкам с повышенным тарифом, SMS, данным в роуминге, платежам NFC и т. Д. Приложениям с привилегированным доступом к таким API следует уделять особое внимание предотвращению злоупотреблений, учитывая финансовые последствия уязвимостей. которые предоставляют злоумышленникам доступ к финансовым ресурсам пользователя.

• 8.1 Вести журналы доступа к платным ресурсам в формате, который не может быть отклонен (например, подписанная квитанция, отправляемая на доверенную серверную часть — с согласия пользователя), и делайте их доступными конечному пользователю для мониторинга. Журналы должны быть защищены от несанкционированного доступа.
• 8.2 Проверка аномальных шаблонов использования при использовании платных ресурсов и инициирование повторной аутентификации. Например. при значительном изменении местоположения, изменении языка пользователя и т. д.
• 8.3 Рассмотрите возможность использования модели белого списка по умолчанию для адресации платных ресурсов — e.грамм. только адресную книгу, если специально не разрешено для телефонных звонков
• 8.4 Аутентифицировать все вызовы API к платным ресурсам (например, с помощью сертификата разработчика приложения).
• 8.5 Убедитесь, что обратные вызовы API кошелька не передают в открытом виде информацию об учетной записи / ценах / счетах / товарах.
• 8.6 Предупредить пользователя и получить согласие на любые финансовые последствия, связанные с поведением приложения.
• 8.7 Внедрение передовых методов, таких как быстрое отключение (спецификация 3GPP), кэширование и т. Д., Чтобы минимизировать сигнальную нагрузку на базовые станции.

9. Обеспечение безопасного распространения / предоставления мобильных приложений

Риски : Использование методов безопасного распространения важно для снижения всех рисков, описанных в 10 основных рисках OWASP Mobile и 10 основных рисках ENISA.

• 9.1 Приложения должны быть спроектированы и подготовлены так, чтобы разрешать обновления для исправлений безопасности, с учетом требований для утверждения магазинами приложений и дополнительной задержки, которую это может повлечь.
• 9.2 Большинство магазинов приложений отслеживают приложения на предмет наличия небезопасного кода и могут удаленно удалять приложения в короткие сроки в случае инцидента. Таким образом, распространение приложений через официальные магазины приложений обеспечивает защиту на случай серьезных уязвимостей в вашем приложении.
• 9.3 Предоставьте пользователям каналы обратной связи, чтобы они могли сообщать о проблемах безопасности с приложениями — например, [защищенный адрес электронной почты] адрес электронной почты.

10. Тщательно проверяйте любую интерпретацию кода во время выполнения на наличие ошибок

Риски : Интерпретация кода во время выполнения может дать ненадежным сторонам возможность предоставить непроверенный ввод, который интерпретируется как код.Например, дополнительные уровни в игре, скрипты, интерпретированные заголовки SMS. Это дает возможность вредоносным программам обойти огороженный садовый контроль, предоставляемый магазинами приложений. Это может привести к атакам с использованием инъекций, ведущих к утечке данных, слежке, шпионскому ПО и программам дозвона.

Обратите внимание, что не всегда очевидно, что ваш код содержит интерпретатор. Ищите любые возможности, доступные через вводимые пользователем данные и использование сторонних API, которые могут интерпретировать вводимые пользователем данные, например Интерпретаторы JavaScript.

• 10.1 Сведите к минимуму интерпретацию времени выполнения и возможности, предлагаемые интерпретаторам времени выполнения: запускайте интерпретаторы с минимальными уровнями привилегий.
• 10.2 При необходимости определите исчерпывающий синтаксис escape.
• 10.3 Интерпретаторы Fuzz-тестов.
• 10.4 Интерпретаторы песочницы.

Приложение A — Соответствующие общие передовые методы кодирования »

Некоторые общие передовые практики кодирования особенно актуальны для мобильного кодирования. Мы перечислили некоторые из наиболее важных советов здесь:

• Выполните тестирование случая злоупотребления в дополнение к тестированию сценария использования.
• Подтвердить все введенные данные.
• Минимизируйте строки и сложность кода. Полезной метрикой является цикломатическая сложность (17).
• Используйте безопасные языки (например, от переполнения буфера).
• Реализовать точку обработки отчетов о безопасности (адрес) [электронная почта защищена]
• Используйте анализаторы статического и двоичного кода и нечеткие тестеры для поиска недостатков безопасности.
• Используйте безопасные строковые функции, избегайте переполнения буфера и целых чисел.
• Запускать приложения с минимальными привилегиями, необходимыми для приложения на рабочем система.Помните о привилегиях, предоставляемых по умолчанию API-интерфейсами, и отключите их.
• Не разрешать выполнение кода / приложения с правами root / системного администратора
• Всегда проводить тестирование как стандартный, так и привилегированный пользователь
• Избегайте открытия серверных сокетов для конкретных приложений (портов прослушивателя) на клиентском устройстве.

Используйте механизмы связи, предоставляемые ОС.

• Удалите весь тестовый код перед выпуском приложения
• Убедитесь, что ведение журнала ведется надлежащим образом, но не записывайте лишние журналы, особенно те, включая конфиденциальную информацию о пользователе.

Приложение B — Корпоративные правила

• Если на устройстве необходимо подготовить бизнес-приложение, приложения должны обеспечить более высокий уровень безопасности на устройстве (например, PIN-код, удаленное управление / очистка, мониторинг приложений)
Сертификаты устройства
• могут использоваться для более надежной аутентификации устройства.

Список литературы

1. ENISA. Десять основных рисков для смартфонов. [Онлайн] http: //www.enisa.europa.eu / act / application-security / smartphone-security-1 / top-ten-sizes.
2. OWASP. 10 основных мобильных рисков. [Онлайн] https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Top_Ten_Mobile_Risks.
3. Облачные вычисления: преимущества, риски и рекомендации для информационной безопасности. [Онлайн] 2009 г. http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment.
4. OWASP Cloud Top 10. [Онлайн] https://www.owasp.org/images/4/47/Cloud-Top10-Security-Risks.pdf.
5. документов разработчиков Blackberry. [В Интернете] http://www.blackberry.com/developers/docs/7.0.0api/net/rim/device/api/io/nfc/se/SecureElement.html.
6. Google Seek для Android. [В Интернете] http://code.google.com/p/seek-for-android/.
7. Визуализация паролей шаблонов клавиатуры. [Онлайн] cs.wheatoncollege.edu/~mgousie/comp401/amos.pdf.
8. Smudge Attacks на сенсорных экранах смартфонов. Адам Дж. Авив, Кэтрин Гибсон, Эван Моссоп, Мэтт Блейз и Джонатан М. Смит.s.l. : Департамент компьютерных и информационных наук Пенсильванского университета.
9. Google уязвимость учетных данных для входа в систему клиента на незащищенных. [В Интернете] http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html.
10. SSLSNIFF. [Онлайн] http://blog.oughttcrime.org/sslsniff-anniversary-edition.
11. Руководство по безопасной разработке смартфонов для разработчиков приложений [Интернет] http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-02.
12. NIST Компьютерная безопасность. [В Интернете] http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_PART3_key-management_Dec2009.pdf.
13. Реализация ClientLogin от Google. [В Интернете] http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html.
14. [Онлайн] https://www.owasp.org/index.php/Web_Services.
15. Директива ЕС о защите данных 95/46 / EC. [Онлайн] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML.
16. [Онлайн] http: // демократы.energycommerce.house.gov/sites/default/files/image_uploads/Testimony_05.04.11_Spafford.pdf.
17. [Онлайн] http://www.aivosto.com/project/help/pm-complexity.html.
18. [в Интернете] http://code.google.com/apis/accounts/docs/AuthForInstalledApps.html.
19. Безопасность Google Кошелька. [В Интернете] http://www.google.com/wallet/how-it-works-security.htm.

HTC M7 откажется от мегапикселей в пользу Ultrapixels

(Pocket-lint) — HTC будет использовать новый датчик камеры на своем широко известном смартфоне HTC M7, Pocket-lint может подтвердить, что будет использовать то, что компания называет Ultrapixels.

Хотя ходят слухи, что новый смартфон будет использовать 13-мегапиксельный сенсор, источники, знакомые с этим вопросом, сообщили Pocket-lint, что это не так. Не совсем так.

Вместо этого новая камера будет состоять из трех слоев сенсоров с разрешением 4,3 мегапикселя, объединенных в одно изображение. Три лота 4.3 могут в сумме дать около 13 мегапикселей, но изображения из последней версии HTC не будут выводиться с таким большим размером.

ЧИТАТЬ: В списке на складе HTC M7 Carphone подтверждается название, цвета

Метод, аналогичный тому, который используется Sigma в датчике Foveon X3, означает, что три блока данных могут представлять один последний пиксель.Все эти дополнительные данные могут быть разумно «объединены» для создания более четкого, чистого изображения и — в случае датчика Foveon — большей точности цветопередачи.

ПРОЧИТАЙТЕ: HTC демонстрирует новые возможности звука в 2013 году, готовьтесь к караоке

Этот метод также близок к тому, как Nokia может обрабатывать данные изображения с помощью камеры в 808 PureView или системы Fujifilm EXR в своих компактных камерах. но обе компании выбирают более традиционную структуру сенсора и используют окружающие пиксели для визуализации одного эквивалента в конечном изображении, а не многослойную структуру, которую, как говорят, выбрала HTC.

Ожидается, что датчик Ultrapixel станет основной особенностью нового смартфона M7 — название которого еще не подтверждено официально — и, предположительно, это способ, которым HTC не даст потребителям запутаться в том, что его новый флагманский телефон будет поставляться с что, на первый взгляд, представляет собой 4-мегапиксельный сенсор.

У Nokia была аналогичная проблема с Nokia 808 Pureview, которая может похвастаться 41-мегапиксельным сенсором, который был доступен только в одном режиме, тогда как более общие настройки смартфона ограничивали вывод до 8-мегапикселей для максимальной четкости снимков.

Ultrapixel в конечном итоге делает ремаркетинг мегапикселей. Станет ли это частью вашего ежедневного словарного запаса с 19 февраля, что ж, нам просто нужно подождать и посмотреть.

Написано Стюартом Майлзом. Первоначально опубликовано , 16 апреля 2013 г., .