Mas o que preocupa é a disseminação dos "Market Players" ou lojas de extensões que funciona da mesma forma que as lojas de aplicativos para celular.Por mais controles que essas "lojas" fazem das aplicações submetidas, isso tem se demonstrando ineficaz. O numero de aplicações e a criatividade dos atacantes sempre acabam por ludibriar os controles de segurança. Também não podemos ignorar que existem com certeza vulnerabilidade nos códigos de aplicações fidedignas, que por desconhecimento ou displicência podem criar um risco para os usuários.
Esse tema será a minha base de estudo essa semana, pois os endpoints de mercado "prometem" conter esse tipo de problema. Mas será que realmente irão detectar a exploração de uma vulnerabilidade numa extensão e não apenas o código malicioso?
Como o tempo é curto, tentarei ser sucinto nesse POC para incentivar o aprofundamento sobre esse tópico onde pretendo mostrar que o ciclo de desenvolvimento seguro de código ou Security Development Lifecycle (SDL) se faz mais necessario.
Nenhum comentário:
Postar um comentário