:

Szerző: Bodnár Ádám

2011. május 19. 12:16

Nem sokat törődtek az Android biztonságával

Az Android biztonságával kapcsolatban számos tévhit él a köztudatban - mondja Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője, akivel az Ethical Hacking konferencián a témában tartott előadása kapcsán beszélgettünk.

Napjaink legsikeresebb operációs rendszere vitán felül a Google Android, amely néhány évvel megszületése után már a legnagyobb piaci részesedéssel rendelkezik az okostelefonok területén. A platform gyors fejlődéséről, kényelméről, használhatóságáról és fejlesztői támogatottságáról szóló hírek mellett viszonylag kevés szó esik a biztonságról - pedig van miről beszélni.

A platform szintjén is sebezhető

Azzal, hogy a Google lecserélt mindent a Linux kernel felett, végeredményben fokozta a biztonságot, de a cég távolról sem tett meg mindent annak érdekében, hogy egy valóban robusztus platform jöjjön létre - kezdte a beszélgetést Veres-Szentkirályi András. Az Android alatt működő Linux ugyan egy önálló kernelfába került, amelyet a Google tart karban, de biztonságot érintő változtatásokat nem vezettek át, még a széles körben ismert és használt grsecurity patchkészletet sem kapta meg. Az ARM utasításkészlet-architektúrában számos elem található, amelyek a biztonságot hivatottak fokozni (pl. TrustZone, ExecuteNever), de az Android ezeket sem használja ki. Ez a gyakorlatban azt jelenti, hogy a Linux kernel sebezhetőségeivel az Android is támadható - összegez a Silent Signal szakértője, aki a tavalyi Ethical Hackingen különféle Linux-töréseket mutatott be.

Javítás érkezik

Az Ulm Egyetem kutatói a múlt pénteken publikáltak egy Android-sebezhetőséget: az operációs rendszer titkosítatlanul küldi a Google Calendar és Contacts tranzakciók tartalmait a szerverek felé, amelyek így lehallgathatók, például egy nyilvános Wi-Fi hotspoton a hálózati forgalom figyelésével. A vállalat gyorsan reagált és ma bejelentette, megkezdte a biztonsági frissítés terítését. Jelenleg az Android 2.3.3 és korábbi verziók támadhatók ezzel a módszerrel.

A Google operációs rendszerén az alkalmazások a Dalvik nevű virtuális gépen futnak, ez azonban nem jelenti azt, hogy teljesen szeparálva lennének egymástól vagy a kerneltől. Lehetséges olyan kódot írni Androidra, és többen meg is tették már, amely "kiugrik" a virtuális gépből és hozzáfér a kernelhez - így működnek például azok a szoftverek, amelyek "rootolják" a telefont és teljes rendszergazdai jogosultságot adnak a tulajdonosnak. A Dalvikból kiugráshoz és a kernel eléréséhez szükséges trükkök ismertek és jól dokumentáltak, ha valaki talál egy kernelsebezhetőséget, könnyedén készíthet olyan szoftvert, amely azt kihasználva korlátlan jogosultsággal garázdálkodik a telefonon.

Biztonsági szempontból kockázatot jelent az is, hogy a Marketből letölthető és telepíthető alkalmazások nincsenek a Google által aláírva, valamint hogy lehetséges utólagos kód letöltése is - magyarázza Veres-Szentkirályi András. Így aztán előfordulhat, és elő is fordult, hogy valaki egy ártalmatlannak tűnő alkalmazást feltesz a Marketre, megvárja hogy sokan letöltsék és utólag tölti bele a kártékony kódot. Az Androidon teljes hozzáférést szerezhet egy támadó, elolvashatja a felhasználó leveleit, SMS-eit, kiolvashatja névjegyzékét és naptárját, de akár a különféle online szolgáltatásokhoz és fiókokhoz (pl. Gmail, Facebook, Twitter) tartozó hozzáférési tokeneket is, amelyek birtokában a teljes online személyiséget "ellophatja".

A felhasználó a legkönnyebben törhető

Az Android platform tehát küzd biztonsági kihívásokkal, de az alkalmazások szintjén ez még inkább tetten érhető. A Silent Signal szakértője szerint az okostelefonok piaci hódításával szaporodó  mobilos alkalmazásfejlesztők mintha teljesen elfelejtették volna azokat a módszereket és előírásokat, amelyekkel az alkalmazásokat biztonságossá lehet tenni. Az Ethical Hacking konferencián Veres-Szentkirályi András ezt a Sanoma által Androidra kiadott Profession alkalmazás segítségével demonstrálta - némi ügyeskedéssel az álláskereső oldal teljes adatbázisát ki lehet "szívni", és ehhez nem szükséges semmit sem feltörni vagy meghackelni.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Felhasználóként az androidos készülékek biztonságáért egyelőre nem sokat lehet tenni: érdemes az Android Marketen elolvasni a programról írt kritikákat és távol maradni azoktól, amelyek a visszajelzések szerint nem működnek - ez annak a jele lehet, hogy a program csak afféle "csalétek" vagy titokban hajt végre valamit. Emellett telepítés előtt érdemes arról is tájékozódni, mire is kér engedélyt egy alkalmazás - ha engedélyt kér valamire, valószínűleg meg is fogja tenni.  Az egyik ismert androidos kártevő például orosz telefonszámokra küldött emelt díjas SMS-eket - a telepítés előtt engedélyt is kért az SMS-küldésre, a felhasználók pedig adtak is neki. Itt is van azonban probléma, a jogosultságokat nem lehet egyenként engedélyezni vagy tiltani, egy program telepítéséhez az összeset jóvá kell hagyni.

Október 13-án 6 alkalmas, 18 órás CI/CD alapozó képzést indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

roszkoszmosz

20

Saját Starlink-riválist indít Oroszország

2025. szeptember 17. 13:43

Az első indítások idén év végén jöhetnek, 2035-re valósulhat meg a teljes, országos lefedettség, beleértve az Észak-sarkvidéket.