Debug ADB Whitelist

ADB Debug whitelist: Cyanogenmod vs Paranoid Android

Giuseppe Tripodi -

Quando vi abbiamo parlato di tutte le novità di Android 4.2 e del changelog ufficiale fornito da Google, forse non tutti avranno notato che, tra le righe, si annidava una nuova voce di sicurezza:

 Improved security for devices with debugging enabled – you can enable debugging for each new debugging client.

Di che stiamo parlando? È presto detto: con l’ultimissima versione (4.2.2) del nostro sistema operativo preferito, quando colleghiamo lo smartphone con debug abilitato ad un PC appare una popup come quello che vedete in alto, chiedendoci di confermare l’attendibilità del PC che vuole accedere alle funzioni di sviluppo, tramite una chiave RSA. Le ragioni di questa implementazione sono da ricercare in una maggiore sicurezza, per evitare che qualcosa possa venire installato a nostra insaputa. CyanogenMod ha abbracciato subito la novità, comunicando che non faranno nulla per aggirare questo sistema e che It’s a feature, not a bug, mentre il team Paranoid Android sembra non aver incluso (deliberatamente) questo sistema di protezione.

Analizzando la questione, questa whitelist ha sicuramente senso di esistere, ma, oltre ad un lieve tedio per lo sviluppatore, inibisce anche una delle funzioni più interessanti implementate di recente su entrambi i custom firmware: l’ADB over network. Come si intuisce dal nome, abilitando questo flag è possibile utilizzare il tool adb (fondamentale per il testing delle proprie applicazioni) tramite wireless: il risvolto della medaglia sta nel fatto che, per il momento, in questo modo non viene richiesta la conferma di attendibilità e il dispositivo, che per quanto connesso, risulterà “offline” e quindi inutilizzabile per lo sviluppo. Sarà quindi necessario collegarlo col cavetto e confermare l’affidabilità del debug: solo successivamente sarà possibile utilizzare l’ADB over network.

Personalmente, trovandomi spesso ad utilizzare diverse piattaforme e non avendo sempre con me il cavo USB, ho deciso di abbracciare la Paranoid Android proprio per non aver implementato la debug whitelist, ma la questione è interessante: voi da che parte state? Maggiore sicurezza (per quanto sia oggettivamente improbabile che qualcuno installi un’applicazione via adb a vostra insaputa) o maggiori comodità per gli sviluppatori?