Kockázatosak lehetnek a mobil alkalmazások

Az okostelefonokat igazán használók engedélyezik, hogy készülékük folyamatosan, a háttérben is használhassa az adatkapcsolatot. Amíg ez jóindulatú, addig örülünk, de nagyon kínos, ha kiderül, hogy némelyik program kémkedik utánunk és szorgalmasan jelent is.

Az Android és az iPhone platformokon nagyon sok programnak hozzáférése van a felhasználó személyes adataihoz, illetve a készülék alapvető funkcióihoz is. Ez a legtöbb esetben szükségszerű az alkalmazás működéséhez, elég csak egy levelezőkliensre, vagy egy tárcsázó alkalmazásra gondolni, előfordul viszont, hogy a programok olyan dolgokhoz is kérnek és kapnak engedélyt, amire egyáltalán nem lenne okuk.

A Lookout nevű szerveződés a Black Hat biztonságtechnikai konferencián jelentette be az App Genome Project kezdeményezés első eredményeit, aminek keretében 300 ezer mobil alkalmazást vizsgáltak meg, kifejezetten adatbiztonsági szempontból. A kutatás apropója, hogy a mobil alkalmazások minden platformon, legyen szó iPhone, Blackberry, Android vagy Symbian rendszerről, képesek lehetnek hozzáférni érzékeny felhasználói adatokhoz a használó tudta nélkül is akár.

A mostani védelem édeskevés

Ugyan a legfiatalabb platform, az Android igyekszik lépéseket tenni a tudatosság kiépítésének érdekében, mégpedig úgy, hogy minden egyes alkalmazás telepítésekor tételesen felsorolja, hogy az adott program mihez fog hozzáférni telepítés után, de még ez is kevésnek bizonyul. A listán a legtöbb felhasználó olvasás nélkül átugrik, s pontosan annyi időt szentel a kérdésnek, mint amennyit a telepítéskor a felhasználási és szerződési feltételek elolvasására szoktunk szánni, azaz semennyit. Pedig az Android legalább tudatja, ha egy program a telefonhívásainkhoz is hozzáfér, vagy ha egy program képes a névlistánkat szerkeszteni, vagy éppen tárcsázni, GPS-adatokat kérni vagy a hálózati kapcsolatokat kezelni. A többi mobil platformon ezekről egyáltalán tudomást sem szerezhet az egyszerű felhasználó.

Ha egy térképet vagy egy keresőalkalmazást töltünk le, akkor természetes, hogy a program engedélyt kér a GPS használatára, illetve adatforgalmazásra, de a Lookout rostáján nagyon hamar fennakadt Jackeey Wallpaper program eleve gyanús igényekkel indult. Az eredetileg háttérképek letöltésére alkalmas program hozzáférést kér a névlistához, híváslistákhoz, telefonszámokhoz, szolgáltatói azonosítókhoz, illetve a hangpostához is. Az adatokat szorgalmasan gyűjtögeti, majd időnként el is küldi azokat egy kínai weboldalra, ahol ki tudja mi történik velük.

Az emberek nem figyelnek

A szomorú, hogy ezt egy program megteheti egyáltalán, a még szomorúbb pedig az, hogy annak ellenére, hogy az Android jelzi, hogy mihez fog hozzáférni az alkalmazás, mégis több millió felhasználó töltötte le ezt a programot. Igaz, azt hozzáteszik a Lookout szakértői is, hogy attól, hogy egy alkalmazás gyanús, még nem feltétlenül rosszindulatú vagy káros. A múltbéli tapasztalatok is azt mutatják, hogy számos program fejlesztői estek túlzásba azzal kapcsolatban, hogy mennyi adatra van szükség a működés optimalizálásához, de valójában semmilyen rossz dolgot nem tettek.

Előfordulhat viszont, hogy egy program SMS-eket kezd küldeni, vagy éppen valóban érzékeny és személyes adatokat, jogsértő módon küld tovább, s nem anonimizált statisztikai jelleggel. A telefonkönyvhöz való hozzáféréssel lehetőség van arra is, hogy általános kimutatás készüljön arról, hogy az emberek hány hívást intéznek és azok milyen hosszúak, de akár fel lehet térképezni pontosan a kapcsolati hálóját is valakinek igazi nevekkel és igazi telefonszámokkal.

Figyelem, figyelem!

A Lookout kutatása egyelőre nem azzal a céllal indult el, hogy konkrétan büntessen fejlesztőket, hanem inkább a platformgyártók figyelmét szeretné felhívni ezekre az veszélyekre. A kutatás eddigi eredményei közül sokat elmond például, hogy a vizsgált alkalmazások közül az iPhone programoknak 14, az Android programoknak pedig 8 százaléka rendelkezik közvetlen hozzáféréssel a telefonkönyv adataihoz. Ez a szám egyben mutatja azt is, hogy a gyakran hangoztatott nyílt és zárt rendszer ebben a kérdésben nem képvisel ellentétet, mindkét oldalon jellemző lehet a túlzott engedékenység.

2009-ben a Palm Pre készüléken futó webOS fejlesztőit sem vezérelte semmilyen gonosz szándék, mégis sikerült egy olyan funkciót beépíteni a mobilba, ami minden nap elküldte a gyártónak a mobilok aktuális GPS-koordinátáit, illetve az aznap használt alkalmazások listáját. A közösség nyomásának engedve a gyártó végül kivette ezt a képességet. A külső alkalmazásfejlesztők ezreit azonban nem lehet olyan könnyen tetten érni, s kódolva van, hogy hamarosan megtörténik az első komoly, rosszindulatú visszaélés, amivel emberek milliói válnak kiszolgáltatottá egy őrültnek. Az iPhone platform esetében a szigorú előminősítés talán megnyugtató lehet kissé, de egy jól kitervelt akció ellen az sem véd, az Android Market liberális szemlélete viszont kétségeket kelt, még akkor is, ha a telepítés során a felhasználót informálja a program a lehetőségeiről.