Szerző: Bodnár Ádám

2011. május 19. 12:16:00

Nem sokat törődtek az Android biztonságával

Az Android biztonságával kapcsolatban számos tévhit él a köztudatban - mondja Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője, akivel az Ethical Hacking konferencián a témában tartott előadása kapcsán beszélgettünk.

Napjaink legsikeresebb operációs rendszere vitán felül a Google Android, amely néhány évvel megszületése után már a legnagyobb piaci részesedéssel rendelkezik az okostelefonok területén. A platform gyors fejlődéséről, kényelméről, használhatóságáról és fejlesztői támogatottságáról szóló hírek mellett viszonylag kevés szó esik a biztonságról - pedig van miről beszélni.

A platform szintjén is sebezhető

Azzal, hogy a Google lecserélt mindent a Linux kernel felett, végeredményben fokozta a biztonságot, de a cég távolról sem tett meg mindent annak érdekében, hogy egy valóban robusztus platform jöjjön létre - kezdte a beszélgetést Veres-Szentkirályi András. Az Android alatt működő Linux ugyan egy önálló kernelfába került, amelyet a Google tart karban, de biztonságot érintő változtatásokat nem vezettek át, még a széles körben ismert és használt grsecurity patchkészletet sem kapta meg. Az ARM utasításkészlet-architektúrában számos elem található, amelyek a biztonságot hivatottak fokozni (pl. TrustZone, ExecuteNever), de az Android ezeket sem használja ki. Ez a gyakorlatban azt jelenti, hogy a Linux kernel sebezhetőségeivel az Android is támadható - összegez a Silent Signal szakértője, aki a tavalyi Ethical Hackingen különféle Linux-töréseket mutatott be.

Javítás érkezik

Az Ulm Egyetem kutatói a múlt pénteken publikáltak egy Android-sebezhetőséget: az operációs rendszer titkosítatlanul küldi a Google Calendar és Contacts tranzakciók tartalmait a szerverek felé, amelyek így lehallgathatók, például egy nyilvános Wi-Fi hotspoton a hálózati forgalom figyelésével. A vállalat gyorsan reagált és ma bejelentette, megkezdte a biztonsági frissítés terítését. Jelenleg az Android 2.3.3 és korábbi verziók támadhatók ezzel a módszerrel.

A Google operációs rendszerén az alkalmazások a Dalvik nevű virtuális gépen futnak, ez azonban nem jelenti azt, hogy teljesen szeparálva lennének egymástól vagy a kerneltől. Lehetséges olyan kódot írni Androidra, és többen meg is tették már, amely "kiugrik" a virtuális gépből és hozzáfér a kernelhez - így működnek például azok a szoftverek, amelyek "rootolják" a telefont és teljes rendszergazdai jogosultságot adnak a tulajdonosnak. A Dalvikból kiugráshoz és a kernel eléréséhez szükséges trükkök ismertek és jól dokumentáltak, ha valaki talál egy kernelsebezhetőséget, könnyedén készíthet olyan szoftvert, amely azt kihasználva korlátlan jogosultsággal garázdálkodik a telefonon.

Biztonsági szempontból kockázatot jelent az is, hogy a Marketből letölthető és telepíthető alkalmazások nincsenek a Google által aláírva, valamint hogy lehetséges utólagos kód letöltése is - magyarázza Veres-Szentkirályi András. Így aztán előfordulhat, és elő is fordult, hogy valaki egy ártalmatlannak tűnő alkalmazást feltesz a Marketre, megvárja hogy sokan letöltsék és utólag tölti bele a kártékony kódot. Az Androidon teljes hozzáférést szerezhet egy támadó, elolvashatja a felhasználó leveleit, SMS-eit, kiolvashatja névjegyzékét és naptárját, de akár a különféle online szolgáltatásokhoz és fiókokhoz (pl. Gmail, Facebook, Twitter) tartozó hozzáférési tokeneket is, amelyek birtokában a teljes online személyiséget "ellophatja".

A felhasználó a legkönnyebben törhető

Az Android platform tehát küzd biztonsági kihívásokkal, de az alkalmazások szintjén ez még inkább tetten érhető. A Silent Signal szakértője szerint az okostelefonok piaci hódításával szaporodó  mobilos alkalmazásfejlesztők mintha teljesen elfelejtették volna azokat a módszereket és előírásokat, amelyekkel az alkalmazásokat biztonságossá lehet tenni. Az Ethical Hacking konferencián Veres-Szentkirályi András ezt a Sanoma által Androidra kiadott Profession alkalmazás segítségével demonstrálta - némi ügyeskedéssel az álláskereső oldal teljes adatbázisát ki lehet "szívni", és ehhez nem szükséges semmit sem feltörni vagy meghackelni.

Miért érdemes belevágnod a Scrum képzésünkbe? (x) Október 21-én Scrum alapozó képzést indít a HWSW, íme néhány jó érv a kurzus mellett.

Felhasználóként az androidos készülékek biztonságáért egyelőre nem sokat lehet tenni: érdemes az Android Marketen elolvasni a programról írt kritikákat és távol maradni azoktól, amelyek a visszajelzések szerint nem működnek - ez annak a jele lehet, hogy a program csak afféle "csalétek" vagy titokban hajt végre valamit. Emellett telepítés előtt érdemes arról is tájékozódni, mire is kér engedélyt egy alkalmazás - ha engedélyt kér valamire, valószínűleg meg is fogja tenni.  Az egyik ismert androidos kártevő például orosz telefonszámokra küldött emelt díjas SMS-eket - a telepítés előtt engedélyt is kért az SMS-küldésre, a felhasználók pedig adtak is neki. Itt is van azonban probléma, a jogosultságokat nem lehet egyenként engedélyezni vagy tiltani, egy program telepítéséhez az összeset jóvá kell hagyni.

a címlapról