Az Android sem biztonságos

Sok bizalmas információhoz férhetnek hozzá az ingyenes programok.

Régebben volt már egy írásunk, amely apropóját az okostelefonok különböző szolgáltatásaival kapcsolatos biztonsági kockázatok adták - akkor kimondottan a WebOS-t hoztuk fel példaként, ugyanis az operációs rendszer alapértelmezetten napi szinten tájékoztatja a Palmot a telefon földrajzi helyzetéről, a feltelepített programokról, és egyéb statisztikákkal is szolgál.

A cég szerint ezen procedúra teljesen anonim, azonban ha az adatátvitel mobilhálózaton keresztül történik, akkor bizony sok pénzébe kerülhet a telefon tulajának, hogy a vállalat jól informált legyen. Itt jön a képbe a második komoly probléma: a többség véleménye egyértelműen az, hogy senkinek semmi köze sincs ahhoz, hogy a mobiljára mi van feltelepítve, továbbá egy adott szoftvert mikor, hányszor, és hogyan használ.

Az előbb felvázolt, palmos eset még a „kellemesebbek" közül való, hiszen legalább a kikerült adatok viszonylagos biztonságban vannak, és nem jelentenek konkrét kockázatot - még ha ellenszenves is az eljárás. Ennél nagyobb probléma, mikor illetéktelenek férhetnek hozzá a telefonon tárolt információkhoz - ezt sajnos sokkal könnyebb kivitelezni, mint eddig valaha.

Az okostelefonok az utóbbi két-három évben radikális térhódításba kezdtek: az átlagos áruk jelentősen mérséklődött, ráadásul egyre több olyan funkcióval rendelkeznek, amelyek bárki számára hasznosak lehetnek - példaként felhozható a már említett helymeghatározás.

Amennyiben valaki rendelkezik egy ilyen mobillal, nyilván újabb szoftverekkel kívánja bővíteni a funkcionalitását, hiszen rengeteg érdekes és jó program található az interneten, vagy épp az adott operációs rendszer hivatalos boltjában.

Ezek közül is nyilván népszerűek az ingyenes megoldások, hiszen nem kerülnek semmibe, és ha nem válnak be, akkor nyugodtan lehet törölni őket - nem kell az esetleges anyagi kár miatt bosszankodni. A minél nagyobb funkcionalitás érdekében az adott OS fejlesztői általában elég nagy mozgásteret engednek a külső programozók számára: a szoftvereiknek rengeteg olyan API használatát engedélyezik, amelyek segítségével a telefon alapvető erőforrásaihoz lehet hozzáférni, legyenek azok hardveresek, vagy szoftveresek.

Ennek az árnyoldalára mutatott rá tegnap John Hering, és Kevin MaHaffey, a Lookout nevű vállalat két frontembere a Red Hat biztonsági konferencián. A cégük egy nagyszabású felmérést végzett az okostelefonokra letölthető programok, és az általuk potenciálisan kihasználható biztonsági kockázatok témakörében.

Az eredmény kiábrándító: a szoftverek minden platformon hozzáférhetnek többek közt az SMS-ekhez, az elektronikus levelekhez, a böngészési előzményekhez, a telefonkönyvhöz, és a földrajzi koordinátákhoz. Ezek nyilván lehetőséget teremtenek személyes adatok ellopására, és sajnos példát is sikerült hozni rá, mégpedig az androidos Jackeey Wallpaper személyében.

Az ingyenes szoftver nagyon egyszerűnek tűnik, csupán a háttérképet cserélgeti a készüléken, miközben szép csendben egy kínai szerverre továbbítja a mobil tulajdonosának telefonszámát, a SIM-kártyájának nemzetközi azonosítóját, és a hangpostájának számát. Nem tudni, hogy a Jackeey Wallpaper készítőjének mi a szándéka ezen adatokkal, hiszen nem igazán lehet velük visszaélni - azonban ennyi erővel a jóhiszemű tulaj levelezését is megkaparinthatta volna.

Egyértelműen problémát jelent, hogy az Android Marketplace-en megtalálható szoftverek nagyon kis hányada nevezhető biztonságosnak, hiszen mindennemű ellenőrzés nélkül is letölthetővé válnak a frissen beküldött programok - ráadásul az emberek hajlamosak megbízni egy hivatalos programboltban, amely tovább súlyosbítja a helyzetet.

A Jackeey Wallpaper alkalmazást az AndroLib nem túl pontos statisztikái szerint 1-4 millió alkalommal tölthették le, ráadásul 5-ből 4,08-as értékelést kapott - egyszerűen semmi gyanús sincs körülötte, még egy alapvetően bizalmatlan személy is könnyedén beleeshet a csapdájába. Ilyenkor látszik igazán, hogy előnye is van az Apple által alkalmazott, publikálás előtti részletes felülvizsgálatnak - nagyon kicsi az esélye, hogy az AppStore-ba egy ilyen program felkerülhet.

Sajnos nem tudunk univerzális tanácsot adni ezen visszaélések elkerülésére - mindenki nézzen utána alaposan a letöltendő szoftvernek, bár mint a példából is látszik, ez sem garancia semmire. Ráadásul a program kódjába jóval az eredeti publikálása, és a pozitív visszajelzések után is kerülhetnek ártalmas sorok, amely tovább bonyolítja az amúgy is átláthatatlan helyzetet.