Após ler o meu post Python & Android [1] um amigo questionou-me sobre o que eu pensava a respeito da segurança no Android, visto que se for possível criar scripts para o Android do OHA [2] como se faz para qualquer OS, talvez ele seria um tanto vulnerável. O curioso é que eu respondi algo muito parecido com um comentário que li posteriormente, do Mikko da F-Secure [3] que basicamente é o seguinte:
– Sobre a possibilidade de exisitir uma boa implementação do Python para o Android é um a especulação minha, porém é prematuro avaliar algo sobre uma plataforma que pouco sabemos, considerando a utilização de qualquer tipo de aplicativo, mas com os poucos fundamentos que temos até o momento a primeira coisa a saber é qual será a política de instalação de aplicativos;
1) Totalmente Regulado, onde apenas aplicativos autorizados por assinaturas da OHA poderiam ser instalados.
2) Altamente Controlado, onde só aplicativos assinados teriam acesso a todos os recursos do OS e não assinados teriam acesso restrito, similar a licença do Symbian.
3) Pouco Regulado, similar a segunda opção, porém com certificados para o desenvolvedor e não para a aplicação.
4) Totalmente Livre, deixando a segurança sob total responsabilidade do usuário.
Meu palpite aponta para a segunda possibilidade, pois foi o que senti com o vídeo [4] do Nick Sears, Alex Rubin, Steve Horowritz, Dan Morril, Pelsun Wu, Erick Tseng, Illyan Malchev e de outros membros da equipe de desenvolvimento do Android, mas ele também foi um pouco vago.
Riscos sempre existem, afinal quem não se lembra do A Silent SMS Denial of Service (DoS) Attack [5], dos vírus do Symbian, bluejacking e do bluesnarfing? E vulnerabilidades existem em qualquer plataforma, a questão é se o ataque é de difícil ou fácil exploração entre outros fatores que só poderemos avaliar quando tivermos algo de mais concreto para analisar.
[1] Python & Android
[2] Android do OHA
[4] Vídeo de introdução ao Android
[5] A Silent SMS Denial of Service (DoS) Attack
[6] Serious flaws in bluetooth security lead to disclosure of personal data
sec::h0p 
Deixe um comentário