:

Szerző: Bodnár Ádám

2011. május 19. 12:16

Nem sokat törődtek az Android biztonságával

Az Android biztonságával kapcsolatban számos tévhit él a köztudatban - mondja Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője, akivel az Ethical Hacking konferencián a témában tartott előadása kapcsán beszélgettünk.

Napjaink legsikeresebb operációs rendszere vitán felül a Google Android, amely néhány évvel megszületése után már a legnagyobb piaci részesedéssel rendelkezik az okostelefonok területén. A platform gyors fejlődéséről, kényelméről, használhatóságáról és fejlesztői támogatottságáról szóló hírek mellett viszonylag kevés szó esik a biztonságról - pedig van miről beszélni.

A platform szintjén is sebezhető

Azzal, hogy a Google lecserélt mindent a Linux kernel felett, végeredményben fokozta a biztonságot, de a cég távolról sem tett meg mindent annak érdekében, hogy egy valóban robusztus platform jöjjön létre - kezdte a beszélgetést Veres-Szentkirályi András. Az Android alatt működő Linux ugyan egy önálló kernelfába került, amelyet a Google tart karban, de biztonságot érintő változtatásokat nem vezettek át, még a széles körben ismert és használt grsecurity patchkészletet sem kapta meg. Az ARM utasításkészlet-architektúrában számos elem található, amelyek a biztonságot hivatottak fokozni (pl. TrustZone, ExecuteNever), de az Android ezeket sem használja ki. Ez a gyakorlatban azt jelenti, hogy a Linux kernel sebezhetőségeivel az Android is támadható - összegez a Silent Signal szakértője, aki a tavalyi Ethical Hackingen különféle Linux-töréseket mutatott be.

Javítás érkezik

Az Ulm Egyetem kutatói a múlt pénteken publikáltak egy Android-sebezhetőséget: az operációs rendszer titkosítatlanul küldi a Google Calendar és Contacts tranzakciók tartalmait a szerverek felé, amelyek így lehallgathatók, például egy nyilvános Wi-Fi hotspoton a hálózati forgalom figyelésével. A vállalat gyorsan reagált és ma bejelentette, megkezdte a biztonsági frissítés terítését. Jelenleg az Android 2.3.3 és korábbi verziók támadhatók ezzel a módszerrel.

A Google operációs rendszerén az alkalmazások a Dalvik nevű virtuális gépen futnak, ez azonban nem jelenti azt, hogy teljesen szeparálva lennének egymástól vagy a kerneltől. Lehetséges olyan kódot írni Androidra, és többen meg is tették már, amely "kiugrik" a virtuális gépből és hozzáfér a kernelhez - így működnek például azok a szoftverek, amelyek "rootolják" a telefont és teljes rendszergazdai jogosultságot adnak a tulajdonosnak. A Dalvikból kiugráshoz és a kernel eléréséhez szükséges trükkök ismertek és jól dokumentáltak, ha valaki talál egy kernelsebezhetőséget, könnyedén készíthet olyan szoftvert, amely azt kihasználva korlátlan jogosultsággal garázdálkodik a telefonon.

Biztonsági szempontból kockázatot jelent az is, hogy a Marketből letölthető és telepíthető alkalmazások nincsenek a Google által aláírva, valamint hogy lehetséges utólagos kód letöltése is - magyarázza Veres-Szentkirályi András. Így aztán előfordulhat, és elő is fordult, hogy valaki egy ártalmatlannak tűnő alkalmazást feltesz a Marketre, megvárja hogy sokan letöltsék és utólag tölti bele a kártékony kódot. Az Androidon teljes hozzáférést szerezhet egy támadó, elolvashatja a felhasználó leveleit, SMS-eit, kiolvashatja névjegyzékét és naptárját, de akár a különféle online szolgáltatásokhoz és fiókokhoz (pl. Gmail, Facebook, Twitter) tartozó hozzáférési tokeneket is, amelyek birtokában a teljes online személyiséget "ellophatja".

A felhasználó a legkönnyebben törhető

Az Android platform tehát küzd biztonsági kihívásokkal, de az alkalmazások szintjén ez még inkább tetten érhető. A Silent Signal szakértője szerint az okostelefonok piaci hódításával szaporodó  mobilos alkalmazásfejlesztők mintha teljesen elfelejtették volna azokat a módszereket és előírásokat, amelyekkel az alkalmazásokat biztonságossá lehet tenni. Az Ethical Hacking konferencián Veres-Szentkirályi András ezt a Sanoma által Androidra kiadott Profession alkalmazás segítségével demonstrálta - némi ügyeskedéssel az álláskereső oldal teljes adatbázisát ki lehet "szívni", és ehhez nem szükséges semmit sem feltörni vagy meghackelni.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Felhasználóként az androidos készülékek biztonságáért egyelőre nem sokat lehet tenni: érdemes az Android Marketen elolvasni a programról írt kritikákat és távol maradni azoktól, amelyek a visszajelzések szerint nem működnek - ez annak a jele lehet, hogy a program csak afféle "csalétek" vagy titokban hajt végre valamit. Emellett telepítés előtt érdemes arról is tájékozódni, mire is kér engedélyt egy alkalmazás - ha engedélyt kér valamire, valószínűleg meg is fogja tenni.  Az egyik ismert androidos kártevő például orosz telefonszámokra küldött emelt díjas SMS-eket - a telepítés előtt engedélyt is kért az SMS-küldésre, a felhasználók pedig adtak is neki. Itt is van azonban probléma, a jogosultságokat nem lehet egyenként engedélyezni vagy tiltani, egy program telepítéséhez az összeset jóvá kell hagyni.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

3

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.