Jogos com vírus são encontrados na Android Market

[Luiz Augusto - G2 -> MyTouch 4G Slide]

Na semana do Natal, várias pessoas com tablets e smartphones com o sistema operacional Androidganharam um presente de grego da Android Market. Isso porque vários jogos com vírus foram encontrados na loja virtual de conteúdo digital do SO do Google.

A informação surgiu nos últimos dias, e os aplicativosinfectados foram encontrados pela F-Secures, empresa que trabalha no ramo de segurança digital em dispositivos móveis. A tática utiliza foi de colocar jogos famosos pagos com versões falsas e gratuitas. Games como “Cut the Rope” e “Assassin’s Creed” foram alguns dos alvos.

No caso do primeiro game, existia uma versão chamada “Cut the Rope FREE”, que, assim como os outros games falsos, possuía cavalos de troia embutidos. Instalando o aplicativo, o dono do gadget poderia ter informações roubadas ou até ligações feitas sem a ordem do usuário, em caso de smartphones.

A descoberta da infecção veio, primeiramente, pelo fato de que a empresa que publicou o jogo verdadeiro, que é limpo e pago, não era a mesma do jogo gratuito. Enquanto o jogo falso havia sido publicado pela “Eldar Limited”, o original é da “Zeptolab”. A verificação da empresa é a forma mais segura de se descobrir se um app pago que está gratuito no momento é verdadeiro.

Os aplicativos infectados foram deletados pelo Google, mas todo cuidado é pouco, visto que a verificação da Android Market não é uma das melhores. Vários estudos feitos já disseram que a loja virtual do robozinho verde é repleta de vírus, além disso, por conta de sua popularidade, o sistema é praticamente o único visado (para “ataque” de malwares) nos dispositivos móveis.

Fonte:

http://www.mundodostablets.com.br/sistemas-operacionais/jogos-com-virus-sao-encontrados-na-android-market/?utm_source=rss&utm_medium=rss&utm_campaign=jogos-com-virus-sao-encontrados-na-android-market 

[Oscar Marques]

Interessante, tem os apks disso?

Grato.

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Oscar Marques
osc...@gmail.com
http://www.dunkelheit.com.br
@f117usbr
+55 21 9293-9343

------------------------------------

I Hack'n Rio, em breve palestras, videos e etc..

------------------------------------

[Fred]

Acho que o google deveria ter uma verificação dos apps, não precisava ser com mão de  ferro como a Apple, mas uma verificação simples ja evitaria boa parte dos problemas!

"Frederico Ferrão da Silva"

[Jorge Brandão]

+1. De fato, algumas vezes parece q o Google não esta dando muita importância para o Android...

@jorgitothe

Enviado por um dispositivo móvel. Favor desconsiderar eventuais erros ortográficos

[Bruno Albuquerque]

Eu, sinceramentem, não entendo como alguém pode conseguir chegar a uma
conclusão como essa. Quantos desses jogos tinham lá? Vamos assumir que
tenham sido 10 jogos (estou chutando, não tenho a mínima idéia).

A sua tese, pra ter algum nexo (por menor que seja) precisa,
necessariamente, que esses 10 tenham sido os únicos programas com
malware postados no Market.

E se por algum caso tiveram, digamos 10000 e apenas esses 10 passaram
por um motivo ou por outro? There you go.

Isso, claro, pra não mencionar que as apps em questão foram
imediatamente removidas quando o problema foi detectado.

-Bruno

Em 27 de dezembro de 2011 19:04, Jorge Brandão
<jorgeb...@gmail.com> escreveu:

[Daniel da Veiga]

Isso tudo fora a total falta de bom-senso do usuário em nem analisar se a empresa do jogo pago é a mesma, ou ler os reviews, ou ver a nota de avaliação. Em resumo, é o mesmo caso de phishing, nunca entendi como alguém pode cair, mas caem...

2011/12/28 Bruno Albuquerque <b...@bug-br.org.br>

--
Daniel da Veiga

[lacamilo]

Quem têm que fazer verificações somos nós usuários ... pra que um "jogo" precisa de permissões para acessar sua agenda telefônica por exemplo ... 

É sempre bom conferir as permissões da aplicação que se está instalando. Ainda mais se esta solicitar permissões de "administrador" . 

[Jorge Brandão]

O usuário leigo não pensa assim, ele instala e pronto. Nem todo mundo é geek. O Google deveria  deixar por padrão o market somente para software confiável, se o usuário tiver conhecimento poderá demarcar essa opção e instalar todos os softwares...  Foi a primeira ideia q tive...

@jorgitothe

Enviado por um dispositivo móvel. Favor desconsiderar eventuais erros ortográficos.

[Edison Bortolin]

Quando você precisa de um programa pra computador o que você faz? Procura uma solução em sites que você confia, correto? Sabemos que se você baixar software de qualquer fonte, provavelmente terá problema.

Como você se sentiria se descobrisse que o programa que baixou para Windows, no site da própria Microsoft, tivesse malware ? Eu me sentiria desapontado e desprotegido!

Esse é o ponto principal do problema. A fonte oficial de onde os aplicativos são baixados é o Android Market e ela não é 100% confiável. O usuário ainda precisa analisar o desenvolvedor, o número de downloads, o nome do aplicativo, etc, etc.

Pense em alguém que vem do paradigma do computador. O Market já vem instalado e é do Google. É a fonte oficial de aplicativos! Como eles poderiam deixar isso acontecer?

Esse é um ponto muito negativo do Android. Não precisa restringir aplicativos a seu bel prazer, como a Apple faz, mas o Google deveria certificar-se de que os aplicativos estão livres de malware. Isso é o mínimo que se espera!

[ ]'s

[Jorge Brandão]

Falou tudo!

@jorgitothe

Enviado por um dispositivo móvel. Favor desconsiderar eventuais erros ortográficos.

[Italo Naia]

Concordo....

 

o que seria ruim é que Apps como Titanium e outros (que requerem root) seria retirados.... e ter que ficar baixando de outros lugares seria bem chato........

 

mas pra maioria dos usuarios isso não faria tanta diferença.......

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

[Bruno Albuquerque]

Quem deternmina o que é "software confiável"? Se você fosse um
desenvolvedor tentando vender sua app no Market, qual seria sua reação
se você fosse considerado "não confiável"? E se fosse considerado como
tal, como é que faria pra ser considerado confiável eventualmente?

É muito mais fácil dizer do que fazer. O mercado de apps não é feito
apenas de usuários.

-Bruno

Em 28 de dezembro de 2011 10:18, Jorge Brandão
<jorgeb...@gmail.com> escreveu:

[Bruno Albuquerque]

A não ser que você saiba de alguém que tenha baixado uma dessas apps,
você está apenas mencionando um cenário hipotético. A maioria absoluta
dos usuários ou baixa um app específica ou baixa uma app que esteja em
uma das seções especiais do Market. A chance de malware em qualquer um
desses casos é zero.

Qualquer um pode fazer upload de apps no Market e, devido a isso, é
possivel que alguém faça upload de malware. A chance de alguém baixar
isso deve ser, em um estimativa bastante conservadora,
0,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001%

-Bruno

Em 28 de dezembro de 2011 10:20, Edison Bortolin
<edisonb...@gmail.com> escreveu:

[luciofm]

Essa era uma informação interessante de se saber, quantos downloads tiveram esses apps.

Lúcio Maciel
luc...@gmail.com

2011/12/28 Bruno Albuquerque <b...@bug-br.org.br>

[Rodrigo Zaratin]

Cara.... ai complica, pois não tem como ter um processo assim sem ser como a Apple faz onde todos os apps são certificados, pelo menos eu não vejo uma maneira de fazer isso sem ter que certificar cada um dos aplicativos.

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

[Fred]

Uma validação das permissões ja seria interessante. Por exemplo 99% das app's pedem acesso total a internet? WHY??? O cara deveria preencher um formulario na hora de subir o app para o market, explicando o porque de cada permissão que ele pede.

Ou idéia era criar uma permissão exclusiva para Ads, se for possivel, porque a desculpa padrao pra quem pede acesso a internet são os ads, nada melhor que tenha uma permissão exclusiva para ads.

[Lucas de Jesus Matias]

não é desculpa, não tem como o cara colocar ads sem internet, mas acho que devia ter um esquema de que, para permissões mais críticas, ouvesse uma confirmação especial, ou algo que chamasse mais atenção.

[Rodrigo Zaratin]

Pois é... mas veja o que vc disse... se 99% dos apps pedem isso e vc pede verificação disso, logo, 99% dos apps teriam que ser verificados.

Mas a sua ideia para o ads é interessante.

2011/12/28 Fred <fredf...@gmail.com>

[Italo Naia]

dificil fazer algo especifico para Ads........ não existe somente o Admob.... exite outros......

 

o google teria q ficar mantendo uma base com as URLs acessadas por cada programa de Ad........ pra quando for uma permissão de Ad.... permitir internet somente para aquelas URLs.......... o que com certeza traria problemas para os Ads......

 

sem contar que as URLs deveriam ser barradas pelo celular....... o firewall do celular que controlaria isso....

 

 

2011/12/28 Fred <fredf...@gmail.com>

[Juliano Aliberti]

Eu acho que o Market está ótimo como está. Se colocar qualquer
processo de verificação perderíamos a vantagem do Market que é a
publicação imediata das aplicações, e isso é excelente pra quando um
desenvolvedor sobe uma versão, os usuários reportam um bug e ele pode
arrumar e subir sem precisar passar por aprovação. Como qualquer
"mercado" da vida real na minha opinião cabe ao usuário ter bom senso
e avaliar a nota/comentários do aplicativo antes de instalar. Não acho
que é preciso ser usuário "avançado" pra isso, todo mundo que eu
conheço que tem Android faz isso e não fica instalando qualquer
porcaria que aparece.

On 28 dez, 11:45, Rodrigo Zaratin <rzara...@gmail.com> wrote:
> Pois é... mas veja o que vc disse... se 99% dos apps pedem isso e vc pede
> verificação disso, logo, 99% dos apps teriam que ser verificados.
>
> Mas a sua ideia para o ads é interessante.
>

> 2011/12/28 Fred <fredfer...@gmail.com>

>
>
>
>
>
>
>
> > Uma validação das permissões ja seria interessante. Por exemplo 99% das
> > app's pedem acesso total a internet? WHY??? O cara deveria preencher um
> > formulario na hora de subir o app para o market, explicando o porque de
> > cada permissão que ele pede.
>
> > Ou idéia era criar uma permissão exclusiva para Ads, se for possivel,
> > porque a desculpa padrao pra quem pede acesso a internet são os ads, nada
> > melhor que tenha uma permissão exclusiva para ads.
>

> > Em 28 de dezembro de 2011 09:17, Rodrigo Zaratin <rzara...@gmail.com>escreveu:
>
> > Cara.... ai complica, pois não tem como ter um processo assim sem ser como
> >> a Apple faz onde todos os apps são certificados, pelo menos eu não vejo uma
> >> maneira de fazer isso sem ter que certificar cada um dos aplicativos.
>

> >> 2011/12/28 Edison Bortolin <edisonborto...@gmail.com>

>
> >>> Quando você precisa de um programa pra computador o que você faz?
> >>> Procura uma solução em sites que você confia, correto? Sabemos que se você
> >>> baixar software de qualquer fonte, provavelmente terá problema.
>
> >>> Como você se sentiria se descobrisse que o programa que baixou para
> >>> Windows, no site da própria Microsoft, tivesse malware ? Eu me sentiria
> >>> desapontado e desprotegido!
>
> >>> Esse é o ponto principal do problema. A fonte oficial de onde os
> >>> aplicativos são baixados é o Android Market e ela não é 100% confiável. O
> >>> usuário ainda precisa analisar o desenvolvedor, o número de downloads, o
> >>> nome do aplicativo, etc, etc.
>
> >>> Pense em alguém que vem do paradigma do computador. O Market já vem
> >>> instalado e é do Google. É a fonte oficial de aplicativos! Como eles
> >>> poderiam deixar isso acontecer?
>
> >>> Esse é um ponto muito negativo do Android. Não precisa restringir
> >>> aplicativos a seu bel prazer, como a Apple faz, mas o Google deveria
> >>> certificar-se de que os aplicativos estão livres de malware. Isso é o
> >>> mínimo que se espera!
>
> >>> [ ]'s
>
> >>> Em 28 de dezembro de 2011 09:50, Daniel da Veiga <

> >>> danieldave...@gmail.com> escreveu:

>
> >>> Isso tudo fora a total falta de bom-senso do usuário em nem analisar se
> >>>> a empresa do jogo pago é a mesma, ou ler os reviews, ou ver a nota de
> >>>> avaliação. Em resumo, é o mesmo caso de phishing, nunca entendi como alguém
> >>>> pode cair, mas caem...
>
> >>>> 2011/12/28 Bruno Albuquerque <b...@bug-br.org.br>
>
> >>>>> Eu, sinceramentem, não entendo como alguém pode conseguir chegar a uma
> >>>>> conclusão como essa. Quantos desses jogos tinham lá? Vamos assumir que
> >>>>> tenham sido 10 jogos (estou chutando, não tenho a mínima idéia).
>
> >>>>> A sua tese, pra ter algum nexo (por menor que seja) precisa,
> >>>>> necessariamente, que esses 10 tenham sido os únicos programas com
> >>>>> malware postados no Market.
>
> >>>>> E se por algum caso tiveram, digamos 10000 e apenas esses 10 passaram
> >>>>> por um motivo ou por outro? There you go.
>
> >>>>> Isso, claro, pra não mencionar que as apps em questão foram
> >>>>> imediatamente removidas quando o problema foi detectado.
>
> >>>>> -Bruno
>
> >>>>> Em 27 de dezembro de 2011 19:04, Jorge Brandão

> >>>>> <jorgebran...@gmail.com> escreveu:

> >>>>> > +1. De fato, algumas vezes parece q o Google não esta dando muita
> >>>>> > importância para o Android...
>
> >>>>> > @jorgitothe
>
> >>>>> > Enviado por um dispositivo móvel. Favor desconsiderar eventuais erros
> >>>>> > ortográficos
>

> >>>>> > Em 27/12/2011 16:38, "Fred" <fredfer...@gmail.com> escreveu:
>
> >>>>> >> Acho que o google deveria ter uma verificação dos apps, não
> >>>>> precisava ser
> >>>>> >> com mão de  ferro como a Apple, mas uma verificação simples ja
> >>>>> evitaria boa
> >>>>> >> parte dos problemas!
>

> >>>>> >> Em 27 de dezembro de 2011 15:33, Oscar Marques <osca...@gmail.com>

> >>>>> >> escreveu:
>
> >>>>> >>> Interessante, tem os apks disso?
> >>>>> >>> Grato.
>
> >>>>> >>> Em 27 de dezembro de 2011 14:23, Luiz Augusto - G2 -> MyTouch 4G
> >>>>> Slide

> >>>>> >>> <laugzamu...@gmail.com> escreveu:

> >>>>>http://www.mundodostablets.com.br/sistemas-operacionais/jogos-com-vir...

>
> >>>>> >>>> --
> >>>>> >>>> Grupo Android Brasil
> >>>>> >>>>http://groups.google.com/group/androidbrasil?hl=pt-BR
> >>>>> >>>> Regras da Lista:http://bit.ly/t8wM7U
>
> >>>>> >>> --
> >>>>> >>> Oscar Marques

> >>>>> >>> osca...@gmail.com

[Henrique Melo]

Do meu ponto de vista, cabe ao usuário esse dever de verificação.


Mas se fosse possível implementar tal politica, poderia ser feita algo do tipo:
1 - Novos cadastros, terão todos os seus app verificados.
2 - Atingindo determinado numero de downloads (em todos os apps) o desenvolvedor ou a desenvolvedora passa para um nível mais flexível e assim por diante.

Obviamente tudo dito aqui foi com base no achismo ;)

Henrique Nogueira de Melo | @nrick_
Analista e Arquiteto de Software

[Bruno Albuquerque]

Isso não escala. E criar uma permissão só pra ads é muiot mais
complexo do que você possa pensar. Quais adds networks seriam
suportadas? Como novas entrariam?

-Bruno

[Daniel da Veiga]

Concordo, qualquer tipo de restrição (censura) seria um passo para trás.

Se o usuário não dá bola para qual app ele instala, pode ser comparado ao usuário de Windows que não tem antivírus instalado, ele sabe das possíveis consequências, e não se importa com elas...

2011/12/28 Juliano Aliberti <juk...@gmail.com>

--
Daniel da Veiga

[Sérgio Gameiro Junior]

Cabe ao usuário.

Assim como em um mercado físico. Você que decide o produto que vai levar, e a comida que vai colocar no seu prato ou da sua família.
Quando algo dá errado, você fala com o SAC do fabricante, não com o mercado.

Para mim, é a mesma coisa que comprar um produto no mercado que contém componentes aos quais você é alérgico, e que estava descrito na embalagem, e depois sair culpando o mercado pelo seu mal estar.

[Fred]

Todos passando por um gateway do google por exemplo?

[Bruno Albuquerque]

Entendo. O que você está dizendo é que outras empresas de ads, que
concorrem com o próprio Google, estariam ok com todo o tráfego de ads
das mesmas passando por esse "gateway"?

-Bruno

[Bruno Albuquerque]

Isso pra não mencionar que o que você chama de "gateway" implicaria no
Google ter que disponibilizar centenas de milhares de servidores
espalhados pelo mundo pra lidar com esse tráfego.

-Bruno

[Fred]

Cabe ao usuario, cabe ao usuario, cabe ao usuario, ok, pode ser, e é por isto que o Windows, é "TÃO BEM" falado quando o assunto é virus/malwhere e etc., é por isto que no windows é "obrigatorio" e padrão o usuario comum ter um antivirus instalado, é quase que utópico um usuario padrão não ter antivirus instalado, é por isto que o usuario comum fica 10 minutos na frente do windows e consegue pegar uma duzia de virus, a unica diferença do android é que na hora de instalar o "virus", ele diz quais permissões o bixo ta querendo, o que ao meu ver pro usuario comum é apenas um clique a mais.

Eu mesmo ja recebi perguntas, sobre "qual antivirus instalo no meu android", claro que falei que não precisava, but!

[Fred]

Bom, eu disse que era possivel, agora se é viavel ja são outros quinhentos.

Porém estamos apenas divagando aqui sobre possiveis soluções.

[Jorge Brandão]

Eu não vou ficar batendo a cabeça atrás de uma solução. O problema existi, o Google deve saber, claro. A solução eu não tenho. A melhor forma de resolver um problema e reconhecê-lo.

@jorgitothe

Enviado por um dispositivo móvel. Favor desconsiderar eventuais erros ortográficos.

[Daniel da Veiga]

O Windows tem a fama pois a grande maioria dos usuários utiliza ele com uma conta de administrador e desabilita o UAC (nas últimas versões) para não ter que confirmar cada ação. O caso não é o mesmo, nem mesmo uma boa analogia, a não ser a favor da idéia de que o usuário é quem, de fato, faz a bobagem.

2011/12/28 Fred <fredf...@gmail.com>

--
Daniel da Veiga

[Fred]

Bom, a culpa pode ser do usuário que sai instalando tudo, mas a má fama com certeza não recai sobre o usuario e sim sobre o sistema em questão.

Aquele UAC nunca serviu pra nada, a não ser para ouvir usuarios putos da cara em ter que ficar clicando naquilo toda hora!

[Edison Bortolin]

É utopia pensar que os usuários vão pensar nisso. Não vão! Só pessoas do nosso perfil se atentam pra essas coisas.

Várias soluções podem ser adotadas. 

[Carlos Gabriel]

No fim das contas tinha virus ou nao tinha? Algum usuário baixou esses apps?

Carlos Gabriel

BSI - IFES

CHRONUS Tec e Automação

Suporte em Redes e Informática

[Rodrigo Zaratin]

A solução pra isso seria criar uma interface ou classe base diferente e soluções de ad fariam a implementação desse pacote diferente.

Dessa maneira seria possível distinguir no Market as permissões, desde que fossem seguidas as especificações.

2011/12/28 Italo Naia <ital...@gmail.com>

[Edison Bortolin]

Algumas pequenas medidas que podem aumentar a segurança:

Não permitir aplicativos com nomes e/ou ícones iguais/parecidos. Não deveria ser possível criar o aplicativo AngryBirds Free sendo que já existe AngryBirds.  

Os aplicativos poderiam ter uma classificação e com base na classificação, as permissões mais comuns. Por que um Screen Saver e/ou Game precisa ter acesso à rede celular e mandar SMS. O usuário poderia ser alertado, em casos estranhos assim...

[Anselmo Junior]

Não sei se alguém aqui é desenvolvedor, mais na programação sempre aprendemos a NUNCA confiar no usuário. Os nossos sistemas tem que bloquear certas ações do usuário.

Dizer que é responsabilidade do usuário em instalar apps com malware é balela, eu acho que deveria existir uma homologação dessas apps. Não precisa ter o mesmo teor da apple (ex: proibido conteúdo homossexuais), mais deveria sempre realizar uma varredura se existe código malicioso, é o mínimo.

O próprio discurso Larry Page fala sobre isso:

Por que nós começamos a trabalhar com buscas? Estávamos fazendo pesquisa na Universidade Stanford, e nós achamos que isto poderia ser interessante… Quando digitávamos “universidade” nos motores de busca da época… você só recebia páginas aleatórias da web. Você recebia páginas que diziam “universidade” duas vezes no título.

Fomos falar com as pessoas que fizeram esses motores de busca e dissemos: “Por que vocês fazem isso?” E eles responderam: “Bem, isto é erro do usuário. Você não deveria ter digitado ‘universidade’. ” Nossa reação era, “como é?” Eu não posso estar errado. Sou só um usuário, certo? E eles não entendiam bem isso. Foi assim que decidimos construir um motor de busca, porque percebemos que ninguém estava focado nisso.

fonte: http://www.gizmodo.com.br/conteudo/google-quer-crescer-em-mil-vezes-nos-proximos-20-anos-mas-ja-esteve-proximo-de-falir/

Quer dizer então que no yahoo a culpa não pode ser do usuário mais na google(android) o usuário que é o responsável?

Google+: https://plus.google.com/u/0/113766939394923329378

[Sérgio Gameiro Junior]

Cara, os problemas de segurança do Windows, e conseqüentemente sua fama, vem de muito, mas muito longe.
O Windows é uma plataforma que já tem mais de 26 anos. O que aconteceu durante todo este tempo o define. E não é bonito, e provavelmente vai levar mais 26 anos para mudar isso.

Hoje, na maioria das vezes, você só pega virus por manter práticas adquiridas durante muitos anos de má utilização. Grande exemplo é a utilização de usuário administrador.

Fama do Windows e sua história é muito pior que do Android. E mesmo em 26 anos de história, não conseguiram solucionar o caso de prever o quão estúpido o usuário pode ser. É muito difícil proteger o usuário de si mesmo. Como desenvolvedor de sistemas, sei muito bem o que é isso.

Ou você adere ao modelo da Apple de Jardim Cercado, ou você condena a inclusão digital, pois usuário vai ser sempre usuário. Praticamente uma criança, que vai sempre agir por impulso, sem considerar consequencias de seus atos, e nunca vai querer ser responsabilizada pelos mesmos.

--
Grupo Android Brasil

[Rodrigo Zaratin]

Entendo bem a questão que estão colocando... mas é simplesmente fazer igual a Apple faz e esse não é o pensamento do Android.

Até onde entendo o Android é como o ebay, Mercado Livre, onde apenas existe uma plataforma para as pessoas venderem seus produtos, no caso, apps.

Assim como no ebay os itens não são olhados 1 a 1 antes de entrarem no ar, no Market é a mesma coisa, porém assim que denuncias são recebidas, ou existe qualquer suspeita o app é retirado.

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

[Anselmo Junior]

Rodrigo, o que eu bato de frente é o discurso que o Larry Page teve e o que tá acontecendo atualmente com o android.

Eu sou usuário, quero ir baixar apps em um local e quero que este seja seguro pois não quero nem saber se um app vai fuder ou não meu aparelho.

Agora o que eu digo para fazer é apenas verificar se existe códigos maliciosos... A Apple faz mais que isso, a app tem que seguir uma série de padrões. No caso do market não precisa seguir padrões, pode continuar livre do jeito que tá, só que "apenas" não ter código malicioso. Por que eles retiram a app com malware quando já tá la dentro e não pode tirar antes que a bomba exploda?

Google+: https://plus.google.com/u/0/113766939394923329378

[luciofm]

Defina código malicioso.

Lúcio Maciel
luc...@gmail.com

2011/12/28 Anselmo Junior <afaj...@gmail.com>

[Edison Bortolin]

6. Códigos Maliciosos (Malware)

Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso".

Alguns exemplos de malware são:

• vírus;
• worms e bots;
• backdoors;
• cavalos de tróia;
• keyloggers e outros programas spyware;
• rootkits.
• 
  

[Edison Bortolin]

Esqueci de citar a fonte:

http://cartilha.cert.br/conceitos/sec6.html 

[Sérgio Gameiro Junior]

E quando uma aplicação que não tem código malicioso "sem querer" cair como positivo nessa varredura? Como faz?
Não é simples. Assim como filtros de SPAM de e-mail não são simples e 100% eficazes.

Mantenho minha visão que é o mesmo que comprar algo no mercado.

O mercado pode tentar se assegurar de que os produtos são de marcas respeitadas, honestas, de qualidade, e que estão todos dentro do prazo de validade. Mas, assim como malware na internet, não consegue prevenir que uma pessoa alérgica a um componente/ingrediente de um produto, ignore as informações contidas nele, e consuma aquele produto.

[Rodrigo Zaratin]

Como disse o Lucio...

Definir código malicioso é muito complicado, não é assim tão simples e como ficariam os apps que precisam de root no Market?

Outra, se esse apps fazem acesso web, como determinar se esse acesso é realmente necessário e legitmo.

2011/12/28 Anselmo Junior <afaj...@gmail.com>

[luciofm]

Eu estranharia mais de uma App que não precisa de acesso a internet do que uma que precise...

Lúcio Maciel
luc...@gmail.com

2011/12/28 Rodrigo Zaratin <rzar...@gmail.com>

[Edison Bortolin]

Ninguém está falando que é fácil e nem que é 100% seguro. O fato é que os ataques recentes não tiveram absolutamente nenhuma dificuldade para serem disparados e alguma coisa precisa ser feita.

[Sérgio Gameiro Junior]

Eu sou usuário, quero ir baixar apps em um local e quero que este seja seguro pois não quero nem saber se um app vai fuder ou não meu aparelho.

Que tal eu colocar sua frase assim:

Eu sou um doente, quero ir comprar remédios de uma farmácia e quero que seja segura pois não quero nem saber se o remédio vai fuder ou não meu corpo.

[Thiago Cangussu]

Uma ideia descompromissada para ter os dois modelos no market: o Google cria um serviço beta de homologação de aplicativos estilo Apple e cobra (ou não) do desenvolvedor. Se o cara quiser, ele vai lá e pede homologação, espera na fila e finalmente ganha uma espécie de selo de qualidade. Senão, ele coloca o aplicativo diretamente no market sem selo de qualidade. O usuário pode colocar um filtro no market (ou poderia ser filtrado por padrão e ele desliga se quiser). O próprio mercado diria se o tal selo se mostraria realmente necessário.

2011/12/28 luciofm <luc...@gmail.com>

[luciofm]

Não tiveram nenhuma dificuldade, atingiram uma parcela ínfima de usuários e foram rapidamente removidos...

Lúcio Maciel
luc...@gmail.com

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

[Anselmo Junior]

Rodrigo, Lucio,

No manifest.xml é definido todos os activity, service, broadcast que a apps irá utilizar. Realizar teste de unidade em cada um é um bom começo.

Sempre acham malware quando estam no market, por que não encontram ainda ANTES de entrar no market? Poderia fechar parceria com essas empresas de segurança também.

Não é pq não seja 100% não precise de atenção, e se for por isso deviamos deixar os spams de lado e deixar o usuário filtrar as suas mensagens, o que não é bem assim.

[luciofm]

O problema é detectar automaticamente se algo é malicioso ou faz parte do funcionamento do aplicativo.

BTW, você entende como funciona Unit Testing???

Lúcio Maciel
luc...@gmail.com

[Anselmo Junior]

Sérgio, a própria ANVISA determinou que venda de antibióticos só com prescrição médica e sendo a segunda via retido em farmácia para evitar que qualquer louco compre qualquer antibiótico por ai. De fato o usuário NUNCA pode ser confiável :D

Thiago, isso ai pode ser também uma ótima idéia, já é alguma coisa. Na verdade o filtro com SELO DE QUALIDADE pode ser o padrão, ai o usuário se quiser por desmarcar essa opção. É quase um controle parental.

[Lucas de Jesus Matias]

considero o ranking do market muito bom pra filtar lixos, e acho que essa é a idéia do Google, algo livre, que jogue o que é ruim pro final da fila, os fatos que aconteceram tenho certeza que foi muito isolado, mas tem gente fazendo muito barulho em cima, o pagamento de 25 dolares pra poder publicar já é uma primeira filtragem, mas acho que analisar todos apps é algo chato mesmo.
Se o Google não excluísse tão rapidamente os apps, eu acharia ruim, mas se tá excluindo e banindo o pessoal que fez isso, está tudo bem.
A idéia do Android é ser mais aberto, e é uma das desvantagens, mas eu ainda prefiro que seja assim, visto que o Google está agindo rápido em resposta.
Já instalei muito app a doidado, nunca peguei nada disso, quase todos os colegas de trabalho tem android e também nunca vi ninguém que pegou vírus, nem de várias pessoas que nem entende de informática e possuem android.

[Daniel da Veiga]

Isso é tudo muito bonito até que seja implementado em código ou seja feita uma verificação, aí começaria um novo thread "aplicativos legítimos recusados no Market", ou "aplicativo inofensivo detectado como malware" e por aí vai.

Na prática, assim como está funciona muito bem, sem restrições, com controle (os apps são removidos assim que detectados) e se cria uma cultura de saber o que diabos se está instalando no aparelho. Mas isso é apenas minha opinião.

Eu ficaria muito triste (decepcionado até) se o Market fosse restrito de qualquer maneira.

2011/12/28 Anselmo Junior <afaj...@gmail.com>

--
Daniel da Veiga

[Anselmo Junior]

Sim lúcio, eu sei como funciona um Unit Testing e faço isso. E não, não to dizendo que irá ser 100% funcional. Por exemplo, um service que roda em background ficar enviando informações de contatos, ou enviando SMS de tempos e é no mínimo estranho, se uma app utiliza desse recurso pode criar uma thread e enviar uma vez, e não uma thread que nunca morre e fica lá mandando msgs,

Como o thiago exemplificou, pode se criar um selo de qualidade no market, ja ajudaria bastante.

[Lucas de Jesus Matias]

Gostei da idéia do selo de qualidade, seria ter vantagens dos 2 lados.

[Edison Bortolin]

Não sei se você sabe, mas existe um órgão que avalia os remédios bem como os riscos e benefícios que eles trazem a saúde. É por isso que existe tarja vermelhra, preta, etc.

--

[luciofm]

Então tu concordas comigo que isso não é Unit Testing...

Certo, então eu cologo um trigger no meu app que ele só começa a fazer isso daqui 10 dias, ou um mes, depois de ter sido validado pelo google :)

[Edison Bortolin]

Cheguei a pensar sobre isso.

Seria uma boa!

[Italo Naia]

essa discussão não acaba....

 

sempre vai ter pessoas contras e pros.............

 

a google nunca vai agradar a todos....(alias ngm/nada agrada a todos...)

 

qlqr coisa que o google tente fazer para diminuir malware será complexa..... e tbm vai desagrada a aqueles que são a favor dao market mais aberto....

2011/12/28 Lucas de Jesus Matias <lucas.m...@gmail.com>

[Edison Bortolin]

E centenas de sites anunciaram o fato e o Android perdeu NN% de credibilidade na mídia e com certeza os concorrentes vão usar o fato como propaganda a favor.

[Sérgio Gameiro Junior]

Primeiro problema, para qualquer homologação, é necessário regras que a definem. Quais serão? Só Malware? O que é Malware? Acesso aos registros telefônicos, SMS, dados pessoais? Tráfego de dados? Que tipo de dados pode trafegar? E o que entra como vírus? E ROOT, é perigoso demais? pode ganhar o selo? E código mal escrito? E código obfuscado? E o tempo de homologação? Quanto vai demorar para uma app entrar? E atualizações, tem que passar por tudo?

Beleza, depois de tudo isso, a app entra na loja.
Ai as apps com selo de homologação começam e vender/baixar mais do que as que não tem.
Ai todas as apps vão querer o selo para ter mais vendas. Ai a Google vai precisar revisar todas as apps.

E ai, virou o que?

Mesmo a Apple, com todo o processo deles, não está livre disso.
http://gizmodo.com/5857251/ios-security-flaw-allows-trusted-apps-to-take-over-your-iphone

Em 28 de dezembro de 2011 14:06, Thiago Cangussu <cang...@gmail.com> escreveu:

[Anselmo Junior]

Ok, aí o teste fura, mais não tô dizendo que é 100%. Bom, se esse não pode ser uma possível solução, tem outros métodos. Empresas de segurança conseguem detectar malwares e o google vai lá e retira. Por que não usar os métodos ANTES de por no market, como se fosse um antivirus ou algo do tipo, um SpamAssassim dos apps.

Não vo afirmar que seria um metodo 100% seguro, mais acredito que alguma coisa tinha que ser feita, uma homologação MINIMA.

[Thiago Cangussu]

Mas isso pode acontecer na loja da Apple, logo não teria como ser usado por jornalistas sensacionalistas para dizer que o iOS/iphone é mais seguro que o Android/[coloque aqui seu aparelho favorito]. A não ser que o Google não consiga fazer um controle tão bom (ou tão ruim) como o da Apple :)

2011/12/28 luciofm <luc...@gmail.com>

[Edison Bortolin]

E aí virou mais seguro! Isso não é bom?

[Anselmo Junior]

Sérgio, não tem como ser 100%, só applefags vão lá e dizem que na Apple tudo funciona 100% e ela nunca erra, e tudo acontece magicamente.

A idéia é quanto pode ser minimizado. Retirar apps maliciosos minimiza de fato, mais fazer uma verificação antes de entrar minimizaria um pouco mais. Sempre tentando evoluir nesses quisitos.

[luciofm]

Cara, esse é o modelo da Apple, um modelo que o Google nunca quis seguir e sempre procurou uma via mais aberta, um mercado aberto.

(Criticas em 2 segundos)

Se é isso o que você procura, um mercado controlado/fechado, você deveria escolher um sistema que lhe proporciona isso.

Esse mercado aberto é justamento o maior diferencial do Google em relação a Apple, porque o Google iria abrir mão disso?

Lúcio Maciel
luc...@gmail.com

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

E aí virou mais seguro! Isso não é bom?

[Edison Bortolin]

Porque você pensa que ser controlado significa ser fechado?

Nada impede dos aplicativos abertos passarem por análises e avaliações.

[Juliano Aliberti]

Eu acho que essa discussão é uma grande perda de tempo.

1 - Quem aqui já foi afetado por uma app maliciosa que pegou no
Market? Eu sou usuário desde 2009 e nunca tive nenhum problema. Minha
namorada também tem Android, é leiga e nunca teve nenhum problema.

2 - O Market funciona muito bem sendo aberto e removendo rapidamente
apps maliciosas quando os usuários reportam algum problema. os
próprios usuários com os reports e com o sistema de avaliações são um
filtro perfeito para evitar apps maliciosas.

3 - Essa política do Google tem funcionado muito bem e duvido que
passe pela cabeça deles alterar o que já está funcionando. E eu
concordo plenamente.

Se você quer chegar no market e baixar qualquer porcaria e que o
Google se responsabilize por você, você fez uma escolha errada. Compre
um iPhone e seja feliz. O Google parte do pressuposto de que o
aparelho e o ecossistema são abertos e que os usuários são seres
capazes de ter o mínimo de julgamento crítico. E não precisa de muita
capacidade julgamento para não baixar um jogo chamado Angry Birds FREE
com nota 1, 15 downloads efetuados e um comentário dizendo "Malware,
dont download this".

On 28 dez, 14:25, Edison Bortolin <edisonborto...@gmail.com> wrote:
> E aí virou mais seguro! Isso não é bom?
>
> Em 28 de dezembro de 2011 14:22, Sérgio Gameiro Junior <

> sergio.game...@gmail.com> escreveu:

>
>
>
>
>
>
>
> > Primeiro problema, para qualquer homologação, é necessário regras que a
> > definem. Quais serão? Só Malware? O que é Malware? Acesso aos registros
> > telefônicos, SMS, dados pessoais? Tráfego de dados? Que tipo de dados pode
> > trafegar? E o que entra como vírus? E ROOT, é perigoso demais? pode ganhar
> > o selo? E código mal escrito? E código obfuscado? E o tempo de homologação?
> > Quanto vai demorar para uma app entrar? E atualizações, tem que passar por
> > tudo?
>
> > Beleza, depois de tudo isso, a app entra na loja.
> > Ai as apps com selo de homologação começam e vender/baixar mais do que as
> > que não tem.
> > Ai todas as apps vão querer o selo para ter mais vendas. Ai a Google vai
> > precisar revisar todas as apps.
>
> > E ai, virou o que?
>
> > Mesmo a Apple, com todo o processo deles, não está livre disso.
>

> >http://gizmodo.com/5857251/ios-security-flaw-allows-trusted-apps-to-t...

>
> > Em 28 de dezembro de 2011 14:06, Thiago Cangussu <cangu...@gmail.com>escreveu:
>
> >> Uma ideia descompromissada para ter os dois modelos no market: o Google
> >> cria um serviço beta de homologação de aplicativos estilo Apple e cobra (ou
> >> não) do desenvolvedor. Se o cara quiser, ele vai lá e pede homologação,
> >> espera na fila e finalmente ganha uma espécie de selo de qualidade. Senão,
> >> ele coloca o aplicativo diretamente no market sem selo de qualidade. O
> >> usuário pode colocar um filtro no market (ou poderia ser filtrado por
> >> padrão e ele desliga se quiser). O próprio mercado diria se o tal selo se
> >> mostraria realmente necessário.
>

> >> 2011/12/28 luciofm <luci...@gmail.com>

>
> >>> Defina código malicioso.
>
> >>> Lúcio Maciel

> >>> luci...@gmail.com
>
> >>> 2011/12/28 Anselmo Junior <afajun...@gmail.com>

>
> >>>> Rodrigo, o que eu bato de frente é o discurso que o Larry Page teve e o
> >>>> que tá acontecendo atualmente com o android.
>
> >>>> Eu sou usuário, quero ir baixar apps em um local e quero que este seja
> >>>> seguro pois não quero nem saber se um app vai fuder ou não meu aparelho.
>
> >>>> Agora o que eu digo para fazer é apenas verificar se existe códigos
> >>>> maliciosos... A Apple faz mais que isso, a app tem que seguir uma série de
> >>>> padrões. No caso do market não precisa seguir padrões, pode continuar livre
> >>>> do jeito que tá, só que "apenas" não ter código malicioso. Por que eles
> >>>> retiram a app com malware quando já tá la dentro e não pode tirar antes que
> >>>> a bomba exploda?
>

> >>>> Em 28 de dezembro de 2011 12:47, Rodrigo Zaratin <rzara...@gmail.com>escreveu:
>
> >>>> Entendo bem a questão que estão colocando... mas é simplesmente fazer
> >>>>> igual a Apple faz e esse não é o pensamento do Android.
>
> >>>>> Até onde entendo o Android é como o ebay, Mercado Livre, onde apenas
> >>>>> existe uma plataforma para as pessoas venderem seus produtos, no caso, apps.
>
> >>>>> Assim como no ebay os itens não são olhados 1 a 1 antes de entrarem no
> >>>>> ar, no Market é a mesma coisa, porém assim que denuncias são recebidas, ou
> >>>>> existe qualquer suspeita o app é retirado.
>

> >>>>> 2011/12/28 Edison Bortolin <edisonborto...@gmail.com>

>
> >>>>>> Algumas pequenas medidas que podem aumentar a segurança:
>
> >>>>>> Não permitir aplicativos com nomes e/ou ícones iguais/parecidos. Não
> >>>>>> deveria ser possível criar o aplicativo AngryBirds Free sendo que já existe
> >>>>>> AngryBirds.
>
> >>>>>> Os aplicativos poderiam ter uma classificação e com base na
> >>>>>> classificação, as permissões mais comuns. Por que um Screen Saver e/ou Game
> >>>>>> precisa ter acesso à rede celular e mandar SMS. O usuário poderia ser
> >>>>>> alertado, em casos estranhos assim...
>

> >>>>>> Em 28 de dezembro de 2011 13:26, Carlos Gabriel <cg.azer...@gmail.com

> >>>>>> > escreveu:
>
> >>>>>> No fim das contas tinha virus ou nao tinha? Algum usuário baixou
> >>>>>>> esses apps?
>
> >>>>>>> Carlos Gabriel
> >>>>>>> BSI - IFES
> >>>>>>> CHRONUS Tec e Automação
> >>>>>>> Suporte em Redes e Informática
>
> >>>>>>> Em 28 de dezembro de 2011 13:23, Edison Bortolin <

> >>>>>>> edisonborto...@gmail.com> escreveu:

>
> >>>>>>> É utopia pensar que os usuários vão pensar nisso. Não vão! Só
> >>>>>>>> pessoas do nosso perfil se atentam pra essas coisas.
>
> >>>>>>>> Várias soluções podem ser adotadas.
>
> >>>>>>>> Em 28 de dezembro de 2011 12:06, Sérgio Gameiro Junior <

> >>>>>>>> sergio.game...@gmail.com> escreveu:

>
> >>>>>>>> Cabe ao usuário.
>
> >>>>>>>>> Assim como em um mercado físico. Você que decide o produto que vai
> >>>>>>>>> levar, e a comida que vai colocar no seu prato ou da sua família.
> >>>>>>>>> Quando algo dá errado, você fala com o SAC do fabricante, não com
> >>>>>>>>> o mercado.
>
> >>>>>>>>> Para mim, é a mesma coisa que comprar um produto no mercado que
> >>>>>>>>> contém componentes aos quais você é alérgico, e que estava descrito na
> >>>>>>>>> embalagem, e depois sair culpando o mercado pelo seu mal estar.
>
> >>>>>>>>> Em 28 de dezembro de 2011 11:53, Henrique Melo <

> >>>>>>>>> henrique1...@gmail.com> escreveu:
>
> >>>>>>>>> *Do meu ponto de vista, cabe ao usuário esse dever de verificação.
> >>>>>>>>>> *

>
> >>>>>>>>>> Mas se fosse possível implementar tal politica, poderia ser feita
> >>>>>>>>>> algo do tipo:
> >>>>>>>>>> 1 - Novos cadastros, terão todos os seus app verificados.
> >>>>>>>>>> 2 - Atingindo determinado numero de downloads (em todos os apps)
> >>>>>>>>>> o desenvolvedor ou a desenvolvedora passa para um nível mais flexível e
> >>>>>>>>>> assim por diante.
>
> >>>>>>>>>> Obviamente tudo dito aqui foi com base no achismo ;)
>
> >>>>>>>>>> Em 28 de dezembro de 2011 09:45, Rodrigo Zaratin <

> >>>>>>>>>> rzara...@gmail.com> escreveu:

>
> >>>>>>>>>> Pois é... mas veja o que vc disse... se 99% dos apps pedem isso e
> >>>>>>>>>>> vc pede verificação disso, logo, 99% dos apps teriam que ser verificados.
>
> >>>>>>>>>>> Mas a sua ideia para o ads é interessante.
>

> >>>>>>>>>>> 2011/12/28 Fred <fredfer...@gmail.com>

>
> >>>>>>>>>>>> Uma validação das permissões ja seria interessante. Por exemplo
> >>>>>>>>>>>> 99% das app's pedem acesso total a internet? WHY??? O cara deveria
> >>>>>>>>>>>> preencher um formulario na hora de subir o app para o market, explicando o
> >>>>>>>>>>>> porque de cada permissão que ele pede.
>
> >>>>>>>>>>>> Ou idéia era criar uma permissão exclusiva para Ads, se for
> >>>>>>>>>>>> possivel, porque a desculpa padrao pra quem pede acesso a internet são os
> >>>>>>>>>>>> ads, nada melhor que tenha uma permissão exclusiva para ads.
>
> >>>>>>>>>>>> Em 28 de dezembro de 2011 09:17, Rodrigo Zaratin <

> >>>>>>>>>>>> rzara...@gmail.com> escreveu:

>
> >>>>>>>>>>>> Cara.... ai complica, pois não tem como ter um processo assim
> >>>>>>>>>>>>> sem ser como a Apple faz onde todos os apps são certificados, pelo menos eu
> >>>>>>>>>>>>> não vejo uma maneira de fazer isso sem ter que certificar cada um dos
> >>>>>>>>>>>>> aplicativos.
>

> >>>>>>>>>>>>> 2011/12/28 Edison Bortolin <edisonborto...@gmail.com>

>
> >>>>>>>>>>>>>> Quando você precisa de um programa pra computador o que você
> >>>>>>>>>>>>>> faz? Procura uma solução em sites que você confia, correto? Sabemos que se
> >>>>>>>>>>>>>> você baixar software de qualquer fonte, provavelmente terá problema.
>
> >>>>>>>>>>>>>> Como você se sentiria se descobrisse que o programa que
> >>>>>>>>>>>>>> baixou para Windows, no site da própria Microsoft, tivesse malware ? Eu me
> >>>>>>>>>>>>>> sentiria desapontado e desprotegido!
>
> >>>>>>>>>>>>>> Esse é o ponto principal do problema. A fonte oficial de onde
> >>>>>>>>>>>>>> os aplicativos são baixados é o Android Market e ela não é 100% confiável.
> >>>>>>>>>>>>>> O usuário ainda precisa analisar o desenvolvedor, o número de downloads, o
> >>>>>>>>>>>>>> nome do aplicativo, etc, etc.
>
> >>>>>>>>>>>>>> Pense em alguém que vem do paradigma do computador. O Market
> >>>>>>>>>>>>>> já vem instalado e é do Google. É a fonte oficial de aplicativos! Como eles
> >>>>>>>>>>>>>> poderiam deixar isso acontecer?
>
> >>>>>>>>>>>>>> Esse é um ponto muito negativo do Android. Não precisa
> >>>>>>>>>>>>>> restringir aplicativos a seu bel prazer, como a Apple faz, mas o Google
> >>>>>>>>>>>>>> deveria certificar-se de que os aplicativos estão livres de malware. Isso é
> >>>>>>>>>>>>>> o mínimo que se espera!
>
> >>>>>>>>>>>>>> [ ]'s
>
> >>>>>>>>>>>>>> Em 28 de dezembro de 2011 09:50, Daniel da Veiga <

> >>>>>>>>>>>>>> danieldave...@gmail.com> escreveu:

>
> >>>>>>>>>>>>>> Isso tudo fora a total falta de bom-senso do usuário em nem
> >>>>>>>>>>>>>>> analisar se a empresa do jogo pago é a mesma, ou ler os reviews, ou ver a
> >>>>>>>>>>>>>>> nota de avaliação. Em resumo, é o mesmo caso de phishing, nunca entendi
> >>>>>>>>>>>>>>> como alguém pode cair, mas caem...
>
> >>>>>>>>>>>>>>> 2011/12/28 Bruno Albuquerque <b...@bug-br.org.br>
>
> >>>>>>>>>>>>>>>> Eu, sinceramentem, não entendo como alguém pode conseguir
> >>>>>>>>>>>>>>>> chegar a uma
> >>>>>>>>>>>>>>>> conclusão como essa. Quantos desses jogos tinham lá? Vamos
> >>>>>>>>>>>>>>>> assumir que
> >>>>>>>>>>>>>>>> tenham sido 10 jogos (estou chutando, não tenho a mínima
> >>>>>>>>>>>>>>>> idéia).
>
> >>>>>>>>>>>>>>>> A sua tese, pra ter algum nexo (por menor que seja) precisa,
> >>>>>>>>>>>>>>>> necessariamente, que esses 10 tenham sido os únicos
> >>>>>>>>>>>>>>>> programas com
> >>>>>>>>>>>>>>>> malware postados no Market.
>

> ...
>
> mais »

[Sérgio Gameiro Junior]

Exatamente. E este órgão, não é o fabricante, nem a farmácia, certo?

E ainda assim, se você, como no meu caso, for alérgico a Ácido Acetilsalicílico, que não tem nenhuma restrição nem selo, não é impossibilitado de comprar e se matar por choque anafilático. E a ANVISA, nem a DORIL, nem a DROGA RAIA, puderam fazer alguma coisa.

Alias, só descobri que eu era alérgico depois que meus olhos e garganta incharam quase a ponto de me matar, aos 13 anos.
Não é simples.

[Thiago Cangussu]

2011/12/28 Sérgio Gameiro Junior <sergio....@gmail.com>

Primeiro problema, para qualquer homologação, é necessário regras que a definem. Quais serão? Só Malware? O que é Malware? Acesso aos registros telefônicos, SMS, dados pessoais? Tráfego de dados? Que tipo de dados pode trafegar? E o que entra como vírus? E ROOT, é perigoso demais? pode ganhar o selo? E código mal escrito? E código obfuscado? E o tempo de homologação? Quanto vai demorar para uma app entrar? E atualizações, tem que passar por tudo?

Por isso disse "descompromissado", e também não disse que é simples de implementar. Se eu tiver que fazer todo o trabalho eu quero todo o salário :D Assumo que se a Apple faz, é possível fazer/copiar. Além disso, os problemas parecem não estar atrapalhando os negócios.

 

Beleza, depois de tudo isso, a app entra na loja.
Ai as apps com selo de homologação começam e vender/baixar mais do que as que não tem.
Ai todas as apps vão querer o selo para ter mais vendas. Ai a Google vai precisar revisar todas as apps.

Por isso disse: "O próprio mercado diria se o tal selo se mostraria realmente necessário."  Seu caso seria: o mercado está dizendo que gosta mais de homologação do que do modelo 100% aberto atual.

E ai, virou o que?

Mesmo a Apple, com todo o processo deles, não está livre disso.
http://gizmodo.com/5857251/ios-security-flaw-allows-trusted-apps-to-take-over-your-iphone

Aí poderíamos ter estatísticas divertidas: X% de malwares passaram na homologação da Apple Vs Y% da Google

[Erick Couto]

Acho que um "selo de conformidade" fornecido pelo Google adicionaria credibilidade para as Aplicações.
Você não seria obrigado a obte-lo, mas poderia se beneficiar da publicidade positiva dele.

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
-----------------------------------------------------------------
Erick Couto
www.cabinevirtual.com.br - Projeto de cockpit de simulação de vôo para o X-Plane.

[luciofm]

Na Apple é muito mais fácil, pois o sistema não permite muitas coisas...

Por exemplo você não tem como ter um service rodando em background, ou seja não tem como sincronizar dados de uma revista ou jornal se não for pelo Newsstand.

Na apple não tem como (até onde eu sei) interceptar SMSs

E por ai vai...

Lúcio Maciel
luc...@gmail.com

2011/12/28 Thiago Cangussu <cang...@gmail.com>

[Sérgio Gameiro Junior]

Já existem "selos de conformidade".

Um de "Editor's Choice", para aplicações reconhecidas, e outro de "Top Developer" para desenvolvedores reconhecidos.

[Ulisses Araújo]

Acho que já existe esse "selo" não?

Os principais desenvolvedores tem um ícone diferenciado.

Não é no aplicativo e sim no desenvolvedor.

Sou da idéia de que o usuário tem que ter malícia. Se ele conseguiu fazer uma busca e achar um software desses, recém chegado ao Market, sem qualificações e outras marcas, alguma coisa tem.

Esse mundo eletrônico é muito bom, mas tem que saber usar...  =)

2011/12/28 Erick Couto <erickc...@gmail.com>

[Bruno Albuquerque]

Quer dizer, algo como isso:

https://market.android.com/details?id=com.gameloft.android.ANMP.GloftB2HM&feature=featured-apps#?t=W251bGwsMSwyLDIwMywiY29tLmdhbWVsb2Z0LmFuZHJvaWQuQU5NUC5HbG9mdEIySE0iXQ..

Que, a propósito, já existe faz tempo.

-Bruno

Em 28 de dezembro de 2011 14:39, Erick Couto <erickc...@gmail.com> escreveu:

[ducasp]

Aí você cai no caso da Nintendo? Possível processo por dificultar acesso aos desenvolvedores ao selo? ehehe Nada é fácil nesse mundo...

[Fred]

Porque?
Se eu baixo uma calculadora ela deveria ter acesso a Internet? Pra que? A não ser que esteja bem descrito que ela baixe formulas da internet, e mesmo estando ninguém garante que seja verdade, não, ela não deveria ter tal acesso. Mas tem e quem garante que diacho ela faz com isso sabe deus. E a não ser que por sorte do destino algum usuário avançado baixe esta calculadora e veja o problema para reportar, ela ficará no market por um bom tempo, e poderá ser baixada por muita gente.

Tem como resolver isso de maneira simples sem ser uma Apple? Não sei, o que sei é que o problema está aí e é real.

Sent from Galaxy SII

Em 28/12/2011 12:04, "luciofm" <luc...@gmail.com> escreveu:

Eu estranharia mais de uma App que não precisa de acesso a internet do que uma que precise...

Lúcio Maciel
luc...@gmail.com

2011/12/28 Rodrigo Zaratin <rzar...@gmail.com>

Como disse o Lucio...

Definir código malicioso é muito complicado, não é assim tão simples e como ficariam os apps que precisam de root no Market?

Outra, se esse apps fazem acesso web, como determinar se esse acesso é realmente necessário e legitmo.

2011/12/28 Anselmo Junior <afaj...@gmail.com>

Rodrigo, o que eu bato de frente é o discurso que o Larry Page teve e o que tá acontecendo atualmente com o android.

Eu sou usuário, quero ir baixar apps em um local e quero que este seja seguro pois não quero nem saber se um app vai fuder ou não meu aparelho.

Agora o que eu digo para fazer é apenas verificar se existe códigos maliciosos... A Apple faz mais que isso, a app tem que seguir uma série de padrões. No caso do market não precisa seguir padrões, pode continuar livre do jeito que tá, só que "apenas" não ter código malicioso. Por que eles retiram a app com malware quando já tá la dentro e não pode tirar antes que a bomba exploda?

Em 28 de dezembro de 2011 12:47, Rodrigo Zaratin <rzar...@gmail.com> escreveu:

Entendo bem a questão que estão colocando... mas é simplesmente fazer igual a Apple faz e esse não é o pensamento do Android.

Até onde entendo o Android é como o ebay, Mercado Livre, onde apenas existe uma plataforma para as pessoas venderem seus produtos, no caso, apps.

Assim como no ebay os itens não são olhados 1 a 1 antes de entrarem no ar, no Market é a mesma coisa, porém assim que denuncias são recebidas, ou existe qualquer suspeita o app é retirado.

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

Algumas pequenas medidas que podem aumentar a segurança:

Não permitir aplicativos com nomes e/ou ícones iguais/parecidos. Não deveria ser possível criar o aplicativo AngryBirds Free sendo que já existe AngryBirds.  

Os aplicativos poderiam ter uma classificação e com base na classificação, as permissões mais comuns. Por que um Screen Saver e/ou Game precisa ter acesso à rede celular e mandar SMS. O usuário poderia ser alertado, em casos estranhos assim...

Em 28 de dezembro de 2011 13:26, Carlos Gabriel <cg.az...@gmail.com> escreveu:

No fim das contas tinha virus ou nao tinha? Algum usuário baixou esses apps?

Carlos Gabriel

BSI - IFES

CHRONUS Tec e Automação

Suporte em Redes e Informática

Em 28 de dezembro de 2011 13:23, Edison Bortolin <edisonb...@gmail.com> escreveu:

É utopia pensar que os usuários vão pensar nisso. Não vão! Só pessoas do nosso perfil se atentam pra essas coisas.

Várias soluções podem ser adotadas. 

Em 28 de dezembro de 2011 12:06, Sérgio Gameiro Junior <sergio....@gmail.com> escreveu:

Cabe ao usuário.

Assim como em um mercado físico. Você que decide o produto que vai levar, e a comida que vai colocar no seu prato ou da sua família.
Quando algo dá errado, você fala com o SAC do fabricante, não com o mercado.

Para mim, é a mesma coisa que comprar um produto no mercado que contém componentes aos quais você é alérgico, e que estava descrito na embalagem, e depois sair culpando o mercado pelo seu mal estar.

Em 28 de dezembro de 2011 11:53, Henrique Melo <henriq...@gmail.com> escreveu:

Do meu ponto de vista, cabe ao usuário esse dever de verificação.

Mas se fosse possível implementar tal politica, poderia ser feita algo do tipo:
1 - Novos cadastros, terão todos os seus app verificados.
2 - Atingindo determinado numero de downloads (em todos os apps) o desenvolvedor ou a desenvolvedora passa para um nível mais flexível e assim por diante.

Obviamente tudo dito aqui foi com base no achismo ;)

Em 28 de dezembro de 2011 09:45, Rodrigo Zaratin <rzar...@gmail.com> escreveu:

Pois é... mas veja o que vc disse... se 99% dos apps pedem isso e vc pede verificação disso, logo, 99% dos apps teriam que ser verificados.

Mas a sua ideia para o ads é interessante.

2011/12/28 Fred <fredf...@gmail.com>

Uma validação das permissões ja seria interessante. Por exemplo 99% das app's pedem acesso total a internet? WHY??? O cara deveria preencher um formulario na hora de subir o app para o market, explicando o porque de cada permissão que ele pede.

Ou idéia era criar uma permissão exclusiva para Ads, se for possivel, porque a desculpa padrao pra quem pede acesso a internet são os ads, nada melhor que tenha uma permissão exclusiva para ads.

Em 28 de dezembro de 2011 09:17, Rodrigo Zaratin <rzar...@gmail.com> escreveu:

Cara.... ai complica, pois não tem como ter um processo assim sem ser como a Apple faz onde todos os apps são certificados, pelo menos eu não vejo uma maneira de fazer isso sem ter que certificar cada um dos aplicativos.

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

Quando você precisa de um programa pra computador o que você faz? Procura uma solução em sites que você confia, correto? Sabemos que se você baixar software de qualquer fonte, provavelmente terá problema.

Como você se sentiria se descobrisse que o programa que baixou para Windows, no site da própria Microsoft, tivesse malware ? Eu me sentiria desapontado e desprotegido!

Esse é o ponto principal do problema. A fonte oficial de onde os aplicativos são baixados é o Android Market e ela não é 100% confiável. O usuário ainda precisa analisar o desenvolvedor, o número de downloads, o nome do aplicativo, etc, etc.

Pense em alguém que vem do paradigma do computador. O Market já vem instalado e é do Google. É a fonte oficial de aplicativos! Como eles poderiam deixar isso acontecer?

Esse é um ponto muito negativo do Android. Não precisa restringir aplicativos a seu bel prazer, como a Apple faz, mas o Google deveria certificar-se de que os aplicativos estão livres de malware. Isso é o mínimo que se espera!

[ ]'s

Em 28 de dezembro de 2011 09:50, Daniel da Veiga <daniel...@gmail.com> escreveu:

Isso tudo fora a total falta de bom-senso do usuário em nem analisar se a empresa do jogo pago é a mesma, ou ler os reviews, ou ver a nota de avaliação. Em resumo, é o mesmo caso de phishing, nunca entendi como alguém pode cair, mas caem...

2011/12/28 Bruno Albuquerque <b...@bug-br.org.br>

Eu, sinceramentem, não entendo como alguém pode conseguir chegar a uma
conclusão como essa. Quantos desses jogos tinham lá? Vamos assumir que
tenham sido 10 jogos (estou chutando, não tenho a mínima idéia).

A sua tese, pra ter algum nexo (por menor que seja) precisa,
necessariamente, que esses 10 tenham sido os únicos programas com
malware postados no Market.

>>>> --
>>>> Grupo Android Brasil
>>>> http://groups.google.com/group/androidbrasil?hl=pt-BR
>>>> Regras da Lista: http://bit.ly/t8wM7U
>>>
>>>
>>>
>>>
>>> --

>>> Oscar Marques
>>> osc...@gmail.com
>>> http://www.dunkelheit.com.br
>>> @f117usbr
>>> +55 21 9293-9343
>>>
>>> ------------------------------------
>>> I Hack'n Rio, em breve palestras, videos e etc..
>>> ------------------------------------
>>>
>>>

>>> --
>>> Grupo Android Brasil
>>> http://groups.google.com/group/androidbrasil?hl=pt-BR
>>> Regras da Lista: http://bit.ly/t8wM7U
>>
>>
>>
>>
>> --

>> "Frederico Ferrão da Silva"

>>
>> --
>> Grupo Android Brasil
>> http://groups.google.com/group/androidbrasil?hl=pt-BR
>> Regras da Lista: http://bit.ly/t8wM7U
>
> --
> Grupo Android Brasil
> http://groups.google.com/group/androidbrasil?hl=pt-BR
> Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Daniel da Veiga

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
"Frederico Ferrão da Silva"

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--

Henrique Nogueira de Melo | @nrick_
Analista e Arquiteto de Software

--
Google+: https://plus.google.com/u/0/113766939394923329378

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

[Rodrigo Zaratin]

Simples.. nesse caso pegue outra calculadora dentro das diversas disponíveis.

2011/12/28 Fred <fredf...@gmail.com>

[Lucas de Jesus Matias]

e outra, tem muito site sensacionalista, o Google não vai mudar a política deles por conta destes sites, não importa o que o Google faça, eles sempre vão achar algo para criticar.
Na prática mesmo, nunca vi um vírus sequer, e nem dei de cara com um App que alguém comentasse que é malware.
Só vi por sites mesmo, tanto que nunca instalei nenhum antivirus.

[Anselmo Junior]

Ai rodrigo, entra naquela questão que eu botei no começ da discussão. A culpa é do usuário ou da google, e se for da google o que pode ser feito para melhorar? No exemplo da calculadora, ate o usuario notar q a app utiliza msgs SMS para spam, quanto será que vem a conta dele? Será que isso nao poderia ser evitado?

Lucio, nao eh se tornar alyamenye fechado, eh melhorat a qualidade do serviço. Soh pq pode ser um poucoais controlado, nao quer dizer q o sistema sera de fato fechado. A apple tem politica muito mais controlados que apenas buscar malwares, e nao eh isso q tbm gostaria de ver no android market

[Fred]

Acho incrível como alguns aqui afirmam que nunca foram afetados com malwhere e etc. Acaso vocês testaram cada um dos app que tem instalado? Acaso a cada app instalado vocês colocam um sniffer na rede e ficam vendo se ele não está mandando nada? Como afirmar que neste exato momento algum dos seus 30 ou 40 apps não está sincronizado seus dados com algum servidor? Afinal permissão eles tem de sobra pra isto. Eu não tenho esta confiança toda.

Sent from Galaxy SII

[Lucas de Jesus Matias]

se usuários leigos, que não sabem nem desconfiar se um aplicativo pode ter malware, conseguiram perceber que foram afetados por isso, por que eu não conseguiria?

[Rodrigo Zaratin]

Cara.. mas isso é muito claro na hora da instalação...

Eu ja deixei de instalar apps por contas das permissões....

Se eu vou pegar uma simples calculadora, não espero que ela solicite permissão para nada....

2011/12/28 Anselmo Junior <afaj...@gmail.com>

[Edison Bortolin]

Quero ver se chegar o dia em que um aplicativo conseguir causar danos a muitos usuários Android. Ai a coisa vai ficar feia e pode ser mto tarde pra pensar em segurança.

Todas as outras empresas regulam seus mercados de aplicativo. Regular não significa fechar. O Google poderia permitir um mercado mais controlado para quem é usuário e mais aberto para quem conhece.

Caminhar na linha de deixar o usuário decidir irá restringir o uso do android ao público geek, como afirmou a Microsoft. 

Realmente a Apple e até a Microsoft que está entrando serão consideradas mais adequadas aos usuários, caso isso não mude.

[Daniel da Veiga]

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

Quero ver se chegar o dia em que um aplicativo conseguir causar danos a muitos usuários Android. Ai a coisa vai ficar feia e pode ser mto tarde pra pensar em segurança.

Quando o app for detectado, será removido, BEM antes de poder causar danos a muitos usuários, ainda mais aos que usam o bom-senso na hora de instalar um app.

 

Todas as outras empresas regulam seus mercados de aplicativo. Regular não significa fechar. O Google poderia permitir um mercado mais controlado para quem é usuário e mais aberto para quem conhece.

Exatamente, todas as outras fazem dessa forma, regulando ANTES, o diferencial do Google é ser mais aberto nesse sentido, e agir rapidamente quando necessário. Não é uma falha, eu pessoalmente considero uma vantagem, principalmente para os desenvolvedores.

 

Caminhar na linha de deixar o usuário decidir irá restringir o uso do android ao público geek, como afirmou a Microsoft. 

O negócio é se abster de citar como exemplo uma empresa que levou semanas para consertar o exploit que o Blaster usava nos sistemas operacionais dela, entre outras tantas falhas, e que tem dia para publicar correções dos seus sistemas, motivo pelo qual uso AV quando uso Windows.

 

Realmente a Apple e até a Microsoft que está entrando serão consideradas mais adequadas aos usuários, caso isso não mude.

Duvido muito, a dificuldade em publicar apps pode afetar negativamente as duas, e a facilidade pode atrair desenvolvedores para o Android, mais desenvolvedores no ecosistema, mais apps, mais apps, mais usuários, mais usuários, mais reviews, mais reviews, mais gente denuncia apps maliciosos, e com isso menos tempo eles ficam no Market, e menos coitados instalam eles, o ecossistema se torna mais seguro, e o ciclo repete. 

 

--
Daniel da Veiga

[Fred]

Bom o caso dos jogos não sei como foi detectado, eram jogos mesmo ou apenas apps que instalavam e não faziam nada?

Voce acha que um app com mal intenção tem que ser um bixo feio que não faz o que se propoe? Que logo batendo o olho tu ja nota que algo ta errado?

Tu garante que teu player alternativo nao envia nada pra web sem voce saber? Ou teu browser alternativo? Ou esqueceram do caso do Dolphin? Que enviava toda URL que tu navegava para um server deles, tu desconfiou do dolphin algum dia se é que tu usou? Eu não. Claro quando é uma grande empresa o nome muda de malwhere para "quebra de privacidade", e quando a coisa vem a publico eles "corrigem a falha".

Uma pessoa mal intensionada poderia perder uma tempo a mais, construindo um app bem feito, que faz exatamente o que se propoe, porem pede algumas permissões extras, que usuario comum não esta ligando muito. Então este app tem uma task que de vez em quando, ou uma unica vez na vida, pega todos os seus dados, e dos seus contatos tambem e manda para um server qualquer. Como desconfiar logo de cara do app se ele faz exatamente o que se propoe, e faz isto muito bem?

Agora concordo que é muito complicado para o google evitar isto, só se ele olhace o código de fonte de cada app do market.

Em 28 de dezembro de 2011 13:10, Lucas de Jesus Matias <lucas.m...@gmail.com> escreveu:

se usuários leigos, que não sabem nem desconfiar se um aplicativo pode ter malware, conseguiram perceber que foram afetados por isso, por que eu não conseguiria?

--

Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

[Mario]

Sergio,

trabalho com usuários a muitos anos e nunca ouvi uma descrição tão bem
definida deles:

"usuário vai ser sempre usuário. Praticamente uma criança, que vai
sempre agir por impulso, sem considerar consequencias de seus atos, e
nunca vai querer ser responsabilizada pelos mesmos. "

Parabéns!!!

Agora, quanto ao assunto, esta discução nunca vai acabar, é o típico
assunto de que existem milhões de opiniões diferentes e nunca
chegaremos a um acordo.

E gosto do jeito que o Market está hoje, mas com certeza adoraria que
os usuários lessem (está certo??) mais as coisas antes de sair
clicando... mas esse é o "mundo ideal", portanto, bem dificil de que
aconteça.

Mas confesso que estou me divertindo e aprendendo muito com a
quantidade das informaçõese o nível da discussão daqui! Parabéns a
todos!

Abraços!

Mário

On 28 dez, 13:45, Sérgio Gameiro Junior <sergio.game...@gmail.com>
wrote:
> Cara, os problemas de segurança do Windows, e conseqüentemente sua fama,
> vem de muito, mas muito longe.
> O Windows é uma plataforma que já tem mais de 26 anos. O que aconteceu
> durante todo este tempo o define. E não é bonito, e provavelmente vai levar
> mais 26 anos para mudar isso.
>
> Hoje, na maioria das vezes, você só pega virus por manter práticas
> adquiridas durante muitos anos de má utilização. Grande exemplo é a
> utilização de usuário administrador.
>
> Fama do Windows e sua história é muito pior que do Android. E mesmo em 26
> anos de história, não conseguiram solucionar o caso de prever o quão
> estúpido o usuário pode ser. É muito difícil proteger o usuário de si
> mesmo. Como desenvolvedor de sistemas, sei muito bem o que é isso.
>
> Ou você adere ao modelo da Apple de Jardim Cercado, ou você condena a
> inclusão digital, pois usuário vai ser sempre usuário. Praticamente uma
> criança, que vai sempre agir por impulso, sem considerar consequencias de
> seus atos, e nunca vai querer ser responsabilizada pelos mesmos.
>
> Em 28 de dezembro de 2011 13:15, Fred <fredfer...@gmail.com> escreveu:
>
>
>
>
>
>
>
> > Bom, a culpa pode ser do usuário que sai instalando tudo, mas a má fama
> > com certeza não recai sobre o usuario e sim sobre o sistema em questão.
>
> > Aquele UAC nunca serviu pra nada, a não ser para ouvir usuarios putos da
> > cara em ter que ficar clicando naquilo toda hora!
>
> > Em 28 de dezembro de 2011 11:06, Daniel da Veiga <danieldave...@gmail.com>escreveu:
>
> >> O Windows tem a fama pois a grande maioria dos usuários utiliza ele com
> >> uma conta de administrador e desabilita o UAC (nas últimas versões) para
> >> não ter que confirmar cada ação. O caso não é o mesmo, nem mesmo uma boa
> >> analogia, a não ser a favor da idéia de que o usuário é quem, de fato, faz
> >> a bobagem.
>
> >> 2011/12/28 Fred <fredfer...@gmail.com>
>
> >>> Cabe ao usuario, cabe ao usuario, cabe ao usuario, ok, pode ser, e é por
> >>> isto que o Windows, é "TÃO BEM" falado quando o assunto é virus/malwhere e
> >>> etc., é por isto que no windows é "obrigatorio" e padrão o usuario comum
> >>> ter um antivirus instalado, é quase que utópico um usuario padrão não ter
> >>> antivirus instalado, é por isto que o usuario comum fica 10 minutos na
> >>> frente do windows e consegue pegar uma duzia de virus, a unica diferença do
> >>> android é que na hora de instalar o "virus", ele diz quais permissões o
> >>> bixo ta querendo, o que ao meu ver pro usuario comum é apenas um clique a
> >>> mais.
> >>> Eu mesmo ja recebi perguntas, sobre "qual antivirus instalo no meu
> >>> android", claro que falei que não precisava, but!
>
> >>> Em 28 de dezembro de 2011 10:06, Sérgio Gameiro Junior <
> >>> sergio.game...@gmail.com> escreveu:

>
> >>> Cabe ao usuário.
>
> >>>> Assim como em um mercado físico. Você que decide o produto que vai
> >>>> levar, e a comida que vai colocar no seu prato ou da sua família.
> >>>> Quando algo dá errado, você fala com o SAC do fabricante, não com o
> >>>> mercado.
>
> >>>> Para mim, é a mesma coisa que comprar um produto no mercado que contém
> >>>> componentes aos quais você é alérgico, e que estava descrito na embalagem,
> >>>> e depois sair culpando o mercado pelo seu mal estar.
>

> >>>> Em 28 de dezembro de 2011 11:53, Henrique Melo <henrique1...@gmail.com>escreveu:
>

> >>>> *Do meu ponto de vista, cabe ao usuário esse dever de verificação.*

>
> >>>>> Mas se fosse possível implementar tal politica, poderia ser feita algo
> >>>>> do tipo:
> >>>>> 1 - Novos cadastros, terão todos os seus app verificados.
> >>>>> 2 - Atingindo determinado numero de downloads (em todos os apps) o
> >>>>> desenvolvedor ou a desenvolvedora passa para um nível mais flexível e assim
> >>>>> por diante.
>
> >>>>> Obviamente tudo dito aqui foi com base no achismo ;)
>

> >>>>> Em 28 de dezembro de 2011 09:45, Rodrigo Zaratin <rzara...@gmail.com>escreveu:
>
> >>>>> Pois é... mas veja o que vc disse... se 99% dos apps pedem isso e vc
> >>>>>> pede verificação disso, logo, 99% dos apps teriam que ser verificados.
>
> >>>>>> Mas a sua ideia para o ads é interessante.
>

> >>>>>> 2011/12/28 Fred <fredfer...@gmail.com>

>
> >>>>>>> Uma validação das permissões ja seria interessante. Por exemplo 99%
> >>>>>>> das app's pedem acesso total a internet? WHY??? O cara deveria preencher um
> >>>>>>> formulario na hora de subir o app para o market, explicando o porque de
> >>>>>>> cada permissão que ele pede.
>
> >>>>>>> Ou idéia era criar uma permissão exclusiva para Ads, se for
> >>>>>>> possivel, porque a desculpa padrao pra quem pede acesso a internet são os
> >>>>>>> ads, nada melhor que tenha uma permissão exclusiva para ads.
>

> >>>>>>> Em 28 de dezembro de 2011 09:17, Rodrigo Zaratin <rzara...@gmail.com
> >>>>>>> > escreveu:
>

> >>>>>>>> Daniel da Veiga
>
> >> --
> >> Grupo Android Brasil
> >>http://groups.google.com/group/an<http://groups.google.com/group/androidbrasil?hl=pt-BR>

[Edison Bortolin]

Qual o critério decisivo que empresas/programadores utilizam pra escolher uma plataforma móvel ? Facilidade de publicar apps ? Duvido! A lucratividade costuma ser o principal motivo de escolha.

Eu também pensei em reações em cadeia.. olha só: menos controle significa maior risco, maior risco implica em publicidade negativa, publicidade negativa diminui o número de usuários, menos usuários implica em menos interesse de empresas publicar aplicativos para a plataforma.

[Thiago Furlan]

Ou eu, que depois de 30 anos fiquei alérgico a Dipirona Sódica, que custa 3 reais no máximo e vc compra em qualquer lugar.
Que órgão me defende? Ou sou eu que tenho que fazer isso?

Thiago

[Guilherme Zalochi]

É diferente né

A comparação correta deveria ser:

  Você comprou a comida e ela veio estragada, mofada  e com a validade vencida

2011/12/28 Sérgio Gameiro Junior <sergio....@gmail.com>

Cabe ao usuário.

Assim como em um mercado físico. Você que decide o produto que vai levar, e a comida que vai colocar no seu prato ou da sua família.
Quando algo dá errado, você fala com o SAC do fabricante, não com o mercado.

Para mim, é a mesma coisa que comprar um produto no mercado que contém componentes aos quais você é alérgico, e que estava descrito na embalagem, e depois sair culpando o mercado pelo seu mal estar.

Em 28 de dezembro de 2011 11:53, Henrique Melo <henriq...@gmail.com> escreveu:

Do meu ponto de vista, cabe ao usuário esse dever de verificação.

Mas se fosse possível implementar tal politica, poderia ser feita algo do tipo:
1 - Novos cadastros, terão todos os seus app verificados.
2 - Atingindo determinado numero de downloads (em todos os apps) o desenvolvedor ou a desenvolvedora passa para um nível mais flexível e assim por diante.

Obviamente tudo dito aqui foi com base no achismo ;)

Em 28 de dezembro de 2011 09:45, Rodrigo Zaratin <rzar...@gmail.com> escreveu:

Pois é... mas veja o que vc disse... se 99% dos apps pedem isso e vc pede verificação disso, logo, 99% dos apps teriam que ser verificados.

Mas a sua ideia para o ads é interessante.

2011/12/28 Fred <fredf...@gmail.com>

Uma validação das permissões ja seria interessante. Por exemplo 99% das app's pedem acesso total a internet? WHY??? O cara deveria preencher um formulario na hora de subir o app para o market, explicando o porque de cada permissão que ele pede.

Ou idéia era criar uma permissão exclusiva para Ads, se for possivel, porque a desculpa padrao pra quem pede acesso a internet são os ads, nada melhor que tenha uma permissão exclusiva para ads.

2011/12/28 Edison Bortolin <edisonb...@gmail.com>

2011/12/28 Bruno Albuquerque <b...@bug-br.org.br>

>>>> --
>>>> Grupo Android Brasil
>>>> http://groups.google.com/group/androidbrasil?hl=pt-BR
>>>> Regras da Lista: http://bit.ly/t8wM7U
>>>
>>>
>>>
>>>
>>> --

>>> Oscar Marques
>>> osc...@gmail.com
>>> http://www.dunkelheit.com.br
>>> @f117usbr
>>> +55 21 9293-9343
>>>
>>> ------------------------------------
>>> I Hack'n Rio, em breve palestras, videos e etc..
>>> ------------------------------------
>>>
>>>

>>> --
>>> Grupo Android Brasil
>>> http://groups.google.com/group/androidbrasil?hl=pt-BR
>>> Regras da Lista: http://bit.ly/t8wM7U
>>
>>
>>
>>
>> --

>> "Frederico Ferrão da Silva"

>>
>> --
>> Grupo Android Brasil
>> http://groups.google.com/group/androidbrasil?hl=pt-BR
>> Regras da Lista: http://bit.ly/t8wM7U
>
> --
> Grupo Android Brasil
> http://groups.google.com/group/androidbrasil?hl=pt-BR
> Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Daniel da Veiga

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
"Frederico Ferrão da Silva"

--

Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--

Henrique Nogueira de Melo | @nrick_
Analista e Arquiteto de Software

--
Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

[Uirauna Caetano]

É só o Google cobrar uma taxa pelo serviço. Não é nem um pouco diferente de comprar uma certificação qualquer.

Claro, isso poderia ser feito por terceiros, mas seria muito facil de falsificar, pois dependenria do usuário validar. A não ser que o google coloque a mão na massa e implemente isso no market.

____________________________________
Uirauna I. Caetano
Engenharia de Computação 2003 - Unicamp

2011/12/28 Thiago Cangussu <cang...@gmail.com>

[Uirauna Caetano]

Cara, lembra que 99% dos usuário de Android não são que nem você, e provavelmente nem sabem o que é "permissão". Novamente caímos no problema de que o Android é feito para cientistas da computação.

É claro que esses problemas todos podem ser evitados tendo usuário ligados, mas infelizmente o mundo real não é assim. Por isso que muita gente ainda se esforça em fazer programas "a prova de idiotas". Sim, esse problema é pequeno, mas é um problema que novamente remete ao windows e a todos os problemas de virus que ele tem. 

As pessoas não querem este tipo de problema. Elas também não querem ficar checando permissões e tentando entender para que um programa quer usar a internet ou interceptar SMS, ou ver seus contatos. As pessoas querem um negócio que funcione e que não traga problemas. Para mim a solução clara para isso é ter um market segmentado: ter tanto apps genéricas que qualquer um pode baixar como uma seção separada de apps homologadas por alguém (seja o Google ou algum terceiro). Isso permite tanto a idéia de um ambiente aberto como de um ambiente seguro. Se a pessoa sabe oq esta fazendo, baixa de qualquer lugar. Se não, baixa só das homologadas.

No final do dia tudo isso denigre a imagem do Android, e consequentemente dá mais uma vantagem para o iOS. Não muito diferente do "Mac não tem vírus" (sim, eu sei que Mac TEM virus, mas nos vários anos que minha mãe tem usado um Mac, ela nunca teve um problema com vírus, enquanto com windows era quase semanal, mesmo usando anti-virus).

PS: Ficar esperando que um usuário médio fique comparando permissões, vendo tráfego de rede e verificando o criador de um app é muuuuuuito wishful thinking...

____________________________________
Uirauna I. Caetano
Engenharia de Computação 2003 - Unicamp

2011/12/28 Rodrigo Zaratin <rzar...@gmail.com>

[Lucas de Jesus Matias]

Fred, se for viver tão desconfiado assim, nem deveria ter um smartphone, nem conta no Google, nem um e-mail te identificando.

Mas se for pra ser tão desconfiado, tem como ver o que cada app está pedindo, se você instala um app que pede permissões para ler seus números de contatos e mensagens, você já está aceitando o risco.

[luciofm]

Vocês realmente acreditam que 700 mil devices por dia, 3.7 milhões no feriado de Natal são todos para 'cientistas da computação'?

Por enquanto todo esse papo de Virus e Malware é apenas FUD. Apareceram alguns, foram removidos e nunca afetaram uma parcela significativa dos usuários.

O Android é aberto, ponto. (Sei que vou ser criticado novamente) Quem acha que essa abertura não é boa e tem problemas com ela, existem outros sistemas mais fechados. Tem espaço para todos no mercado.

Lúcio Maciel
luc...@gmail.com

2011/12/28 Uirauna Caetano <uir...@gmail.com>

[Anselmo Junior]

Acho que muitas pessoas aqui confiam muito no usuário. Que é o usuário quem tem que policiar, que é o usuário que tem que validar. O usuário não foi feito para verificar cada app que baixa em seus dispositivos.

Como eu coloquei logo no inicio, discurso do Larry Page sobre o usuário e os motores de buscas. O discurso é lindo, e baseado nisso ele foi lá e fez o motor de busca da google, que foi o inicio da google. E agora no android, o usuário que tem que tomar cuidado, é o usuário que tá errando.

Em 28 de dezembro de 2011 15:11, Lucas de Jesus Matias <lucas.m...@gmail.com> escreveu:

Fred, se for viver tão desconfiado assim, nem deveria ter um smartphone, nem conta no Google, nem um e-mail te identificando.

Mas se for pra ser tão desconfiado, tem como ver o que cada app está pedindo, se você instala um app que pede permissões para ler seus números de contatos e mensagens, você já está aceitando o risco.

--

Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
Google+: https://plus.google.com/u/0/113766939394923329378

[Fred]

Voce mudou o foco da coisa. Eu não ligo muito por estarem pegando meus dados ou não, não tenho esta paranóia toda.

Mas não é desconfiança que estamos discutindo aqui, não estamos discutindo paranoias, estamos sim discutindo a facilidade de se criar algo do genero e colocar no market sem nenhum problema.

Em 28 de dezembro de 2011 14:11, Lucas de Jesus Matias <lucas.m...@gmail.com> escreveu:

Fred, se for viver tão desconfiado assim, nem deveria ter um smartphone, nem conta no Google, nem um e-mail te identificando.

Mas se for pra ser tão desconfiado, tem como ver o que cada app está pedindo, se você instala um app que pede permissões para ler seus números de contatos e mensagens, você já está aceitando o risco.

--

Grupo Android Brasil
http://groups.google.com/group/androidbrasil?hl=pt-BR
Regras da Lista: http://bit.ly/t8wM7U

--
"Frederico Ferrão da Silva"

[Luiz Augusto - G2 -> MyTouch 4G Slide]

Não entendo de informática, por isso uma pergunta de leigo: seria possível e viável criar um filtro eletrônico para as apps? Algo assim: quando o programador submetesse o app ele entraria, antes, numa malha fina, que seria um terminal Android virtual que instalaria o app e simularia todos os seus usos como um device Android, e aí identificasse fishing ou alterações do sistema. Isso é viável?

[Bruno Albuquerque]

Não. É simplesmente impossível detectar pishing dessa forma. Uma pp
que envie SMSs, por exemplo, tem a permissão de envio de SMS. Não dá
pra saber se o SMS enviado é "normal" ou não.

-Bruno

Em 28 de dezembro de 2011 16:23, Luiz Augusto - G2 -> MyTouch 4G Slide
<laugz...@gmail.com> escreveu: