Az Android sem biztonságos
Sok bizalmas információhoz férhetnek hozzá az ingyenes programok.
Kategóriák: Fókusz Mobil, Mobil, Biztonság
Szerző: Wiezner István
2010. július 30.
Régebben volt már egy írásunk, amely apropóját az okostelefonok különböző szolgáltatásaival kapcsolatos biztonsági kockázatok adták - akkor kimondottan a WebOS-t hoztuk fel példaként, ugyanis az operációs rendszer alapértelmezetten napi szinten tájékoztatja a Palmot a telefon földrajzi helyzetéről, a feltelepített programokról, és egyéb statisztikákkal is szolgál.
Palm Pixi
A cég szerint ezen procedúra teljesen anonim, azonban ha az adatátvitel mobilhálózaton keresztül történik, akkor bizony sok pénzébe kerülhet a telefon tulajának, hogy a vállalat jól informált legyen. Itt jön a képbe a második komoly probléma: a többség véleménye egyértelműen az, hogy senkinek semmi köze sincs ahhoz, hogy a mobiljára mi van feltelepítve, továbbá egy adott szoftvert mikor, hányszor, és hogyan használ.
Az előbb felvázolt, palmos eset még a „kellemesebbek" közül való, hiszen legalább a kikerült adatok viszonylagos biztonságban vannak, és nem jelentenek konkrét kockázatot - még ha ellenszenves is az eljárás. Ennél nagyobb probléma, mikor illetéktelenek férhetnek hozzá a telefonon tárolt információkhoz - ezt sajnos sokkal könnyebb kivitelezni, mint eddig valaha.
29
Az okostelefonok az utóbbi két-három évben radikális térhódításba kezdtek: az átlagos áruk jelentősen mérséklődött, ráadásul egyre több olyan funkcióval rendelkeznek, amelyek bárki számára hasznosak lehetnek - példaként felhozható a már említett helymeghatározás.
Amennyiben valaki rendelkezik egy ilyen mobillal, nyilván újabb szoftverekkel kívánja bővíteni a funkcionalitását, hiszen rengeteg érdekes és jó program található az interneten, vagy épp az adott operációs rendszer hivatalos boltjában.
Samsung Galaxy S
Ezek közül is nyilván népszerűek az ingyenes megoldások, hiszen nem kerülnek semmibe, és ha nem válnak be, akkor nyugodtan lehet törölni őket - nem kell az esetleges anyagi kár miatt bosszankodni. A minél nagyobb funkcionalitás érdekében az adott OS fejlesztői általában elég nagy mozgásteret engednek a külső programozók számára: a szoftvereiknek rengeteg olyan API használatát engedélyezik, amelyek segítségével a telefon alapvető erőforrásaihoz lehet hozzáférni, legyenek azok hardveresek, vagy szoftveresek.
Ennek az árnyoldalára mutatott rá tegnap John Hering, és Kevin MaHaffey, a Lookout nevű vállalat két frontembere a Red Hat biztonsági konferencián. A cégük egy nagyszabású felmérést végzett az okostelefonokra letölthető programok, és az általuk potenciálisan kihasználható biztonsági kockázatok témakörében.
Az eredmény kiábrándító: a szoftverek minden platformon hozzáférhetnek többek közt az SMS-ekhez, az elektronikus levelekhez, a böngészési előzményekhez, a telefonkönyvhöz, és a földrajzi koordinátákhoz. Ezek nyilván lehetőséget teremtenek személyes adatok ellopására, és sajnos példát is sikerült hozni rá, mégpedig az androidos Jackeey Wallpaper személyében.
Az ingyenes szoftver nagyon egyszerűnek tűnik, csupán a háttérképet cserélgeti a készüléken, miközben szép csendben egy kínai szerverre továbbítja a mobil tulajdonosának telefonszámát, a SIM-kártyájának nemzetközi azonosítóját, és a hangpostájának számát. Nem tudni, hogy a Jackeey Wallpaper készítőjének mi a szándéka ezen adatokkal, hiszen nem igazán lehet velük visszaélni - azonban ennyi erővel a jóhiszemű tulaj levelezését is megkaparinthatta volna.
Jackeey Wallpaper
Egyértelműen problémát jelent, hogy az Android Marketplace-en megtalálható szoftverek nagyon kis hányada nevezhető biztonságosnak, hiszen mindennemű ellenőrzés nélkül is letölthetővé válnak a frissen beküldött programok - ráadásul az emberek hajlamosak megbízni egy hivatalos programboltban, amely tovább súlyosbítja a helyzetet.
A Jackeey Wallpaper alkalmazást az AndroLib nem túl pontos statisztikái szerint 1-4 millió alkalommal tölthették le, ráadásul 5-ből 4,08-as értékelést kapott - egyszerűen semmi gyanús sincs körülötte, még egy alapvetően bizalmatlan személy is könnyedén beleeshet a csapdájába. Ilyenkor látszik igazán, hogy előnye is van az Apple által alkalmazott, publikálás előtti részletes felülvizsgálatnak - nagyon kicsi az esélye, hogy az AppStore-ba egy ilyen program felkerülhet.
Sajnos nem tudunk univerzális tanácsot adni ezen visszaélések elkerülésére - mindenki nézzen utána alaposan a letöltendő szoftvernek, bár mint a példából is látszik, ez sem garancia semmire. Ráadásul a program kódjába jóval az eredeti publikálása, és a pozitív visszajelzések után is kerülhetnek ártalmas sorok, amely tovább bonyolítja az amúgy is átláthatatlan helyzetet.
biralo
2010-10-07 13:33:30
Válasz