Nem sokat törődtek az Android biztonságával
Az Android biztonságával kapcsolatban számos tévhit él a köztudatban - mondja Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője, akivel az Ethical Hacking konferencián a témában tartott előadása kapcsán beszélgettünk.
Napjaink legsikeresebb operációs rendszere vitán felül a Google Android, amely néhány évvel megszületése után már a legnagyobb piaci részesedéssel rendelkezik az okostelefonok területén. A platform gyors fejlődéséről, kényelméről, használhatóságáról és fejlesztői támogatottságáról szóló hírek mellett viszonylag kevés szó esik a biztonságról - pedig van miről beszélni.
A platform szintjén is sebezhető
Azzal, hogy a Google lecserélt mindent a Linux kernel felett, végeredményben fokozta a biztonságot, de a cég távolról sem tett meg mindent annak érdekében, hogy egy valóban robusztus platform jöjjön létre - kezdte a beszélgetést Veres-Szentkirályi András. Az Android alatt működő Linux ugyan egy önálló kernelfába került, amelyet a Google tart karban, de biztonságot érintő változtatásokat nem vezettek át, még a széles körben ismert és használt grsecurity patchkészletet sem kapta meg. Az ARM utasításkészlet-architektúrában számos elem található, amelyek a biztonságot hivatottak fokozni (pl. TrustZone, ExecuteNever), de az Android ezeket sem használja ki. Ez a gyakorlatban azt jelenti, hogy a Linux kernel sebezhetőségeivel az Android is támadható - összegez a Silent Signal szakértője, aki a tavalyi Ethical Hackingen különféle Linux-töréseket mutatott be.
Javítás érkezik
A Google operációs rendszerén az alkalmazások a Dalvik nevű virtuális gépen futnak, ez azonban nem jelenti azt, hogy teljesen szeparálva lennének egymástól vagy a kerneltől. Lehetséges olyan kódot írni Androidra, és többen meg is tették már, amely "kiugrik" a virtuális gépből és hozzáfér a kernelhez - így működnek például azok a szoftverek, amelyek "rootolják" a telefont és teljes rendszergazdai jogosultságot adnak a tulajdonosnak. A Dalvikból kiugráshoz és a kernel eléréséhez szükséges trükkök ismertek és jól dokumentáltak, ha valaki talál egy kernelsebezhetőséget, könnyedén készíthet olyan szoftvert, amely azt kihasználva korlátlan jogosultsággal garázdálkodik a telefonon.
Biztonsági szempontból kockázatot jelent az is, hogy a Marketből letölthető és telepíthető alkalmazások nincsenek a Google által aláírva, valamint hogy lehetséges utólagos kód letöltése is - magyarázza Veres-Szentkirályi András. Így aztán előfordulhat, és elő is fordult, hogy valaki egy ártalmatlannak tűnő alkalmazást feltesz a Marketre, megvárja hogy sokan letöltsék és utólag tölti bele a kártékony kódot. Az Androidon teljes hozzáférést szerezhet egy támadó, elolvashatja a felhasználó leveleit, SMS-eit, kiolvashatja névjegyzékét és naptárját, de akár a különféle online szolgáltatásokhoz és fiókokhoz (pl. Gmail, Facebook, Twitter) tartozó hozzáférési tokeneket is, amelyek birtokában a teljes online személyiséget "ellophatja".
A felhasználó a legkönnyebben törhető
Az Android platform tehát küzd biztonsági kihívásokkal, de az alkalmazások szintjén ez még inkább tetten érhető. A Silent Signal szakértője szerint az okostelefonok piaci hódításával szaporodó mobilos alkalmazásfejlesztők mintha teljesen elfelejtették volna azokat a módszereket és előírásokat, amelyekkel az alkalmazásokat biztonságossá lehet tenni. Az Ethical Hacking konferencián Veres-Szentkirályi András ezt a Sanoma által Androidra kiadott Profession alkalmazás segítségével demonstrálta - némi ügyeskedéssel az álláskereső oldal teljes adatbázisát ki lehet "szívni", és ehhez nem szükséges semmit sem feltörni vagy meghackelni.
Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.
Felhasználóként az androidos készülékek biztonságáért egyelőre nem sokat lehet tenni: érdemes az Android Marketen elolvasni a programról írt kritikákat és távol maradni azoktól, amelyek a visszajelzések szerint nem működnek - ez annak a jele lehet, hogy a program csak afféle "csalétek" vagy titokban hajt végre valamit. Emellett telepítés előtt érdemes arról is tájékozódni, mire is kér engedélyt egy alkalmazás - ha engedélyt kér valamire, valószínűleg meg is fogja tenni. Az egyik ismert androidos kártevő például orosz telefonszámokra küldött emelt díjas SMS-eket - a telepítés előtt engedélyt is kért az SMS-küldésre, a felhasználók pedig adtak is neki. Itt is van azonban probléma, a jogosultságokat nem lehet egyenként engedélyezni vagy tiltani, egy program telepítéséhez az összeset jóvá kell hagyni.