Megjelent a paranoiások Androidja

Szigorú kontroll alatt az Android

A US National Security Agency (NSA) az évezred eleje óta fejleszti az SELinuxot, amely különféle módosításokkal teszi biztonságosabbá a szabad operációs rendszert. Az SELinux a 2.6-os verzióban kerül be a mainline kernelbe, Az SELinux biztosítja a szabályalapú hozzáférés-szabályozást az operációs rendszeren és biztosítja az adatok, alkalmazások elkülönítését - az alapja a folyamatoknak csak a működésükhöz szükséges minimális jogosultságot biztosító és azt minden körülmények között betartató Mandatory Access Control (MAC). Ez a gyakorlatban annyit tesz, hogy ha egy támadó egy biztonsági rést kihasználva mégis be tud hatolni a rendszer egy részére, nem tudja irányítása alá vonni a többit vagy az egészet például jogosultságok megemelésével.

Az SELinux fejlesztéseit az Androidba átemelő SE Android projektről először a tavalyi Linux Security Summit konferencián beszélt az NSA, ahol számos olyan támadást is demonstráltak az Android ellen, amelyet az SELinux révén ki lehet védeni vagy a romboló hatásukat csökkenteni lehet. Az egyik példa a sajtóban is nagy figyelmet kapó Skype-sebezhetőség volt, a népszerű VoIP kliens által létrehozott állományokat a telefonra telepített tetszőleges alkalmazásból el lehetett érni, így a felhasználói adatokat is ki lehetett belőlük olvasni. A Linux által alapesetben használt Discretionary Access Control lehetővé teszi az alkalmazások számára, hogy belátásuk szerint biztosítsanak hozzáférést az adataikhoz, a Skype fejlesztői pedig figyelmetlenek voltak és nem korlátozták a kliens által létrehozott állományokat. A MAC esetében az adminisztrátor beállíthatja, hogy az alkalmazások csak saját maguk által létrehozott fájlokhoz férjenek hozzá - de ez csak egy triviális példa.

Nem a biztonság volt a fő szempont az Android fejlesztésénél

Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője korábban a HWSW-nek elmondta, az Android alatt működő Linux ugyan egy önálló kernelfába került, amelyet a Google tart karban, de biztonságot érintő változtatásokat nem vezettek át, még a széles körben ismert és használt grsecurity patchkészletet sem kapta meg. Lehetséges olyan kódot is írni Androidra, és többen meg is tették már, amely "kiugrik" a Dalvik virtuális gépből és hozzáfér a kernelhez - így működnek például azok a szoftverek, amelyek "rootolják" a telefont és teljes rendszergazdai jogosultságot adnak a tulajdonosnak. Ezekkel a trükkökkel olyan programok is létrehozhatók, amelyek az összes felhasználói adatot elérik és akár az online fiókokban (pl. Gmail, Twitter, Facebook) kutakodhatnak, ha a felhasználó be van lépve.

AI az IT-ban: ennek már fele sem tréfa Június 16-án érkezik az idei első kraftie meetup!

Az Android biztonsága nem véletlenül van az érdeklődés homlokterében: napjaink legnépszerűbb okostelefonos operációs rendszere a piac több mint felét uralja és világszerte több mint 200 millió készüléken fut. Az okostelefonos operációs rendszerek és az Android is erőteljesen támaszkodik a különféle online szolgáltatásokra, a Google megengedő politikája miatt pedig akár kártevő, például felhasználói adatokat ellopó programok is felkerülhetnek a Marketre. ami lehetővé teszi, hogy célzott támadásokkal, több tucatnyi alkalmazás egyidejű indításával sok tízezer felhasználó mobilja megfertőzhető legyen.

Már elérhető

Mivel az alapvetően lakossági használatra fejlesztett okostelefonok, köztük az Android-alapú készülékek is egyre inkább beszivárognak a vállalatok hétköznapjaiba és gyakran bizalmas személyes információkat vagy üzleti titkokat is tárolnak, mindenképp helye van a piacon olyan erőfeszítéseknek, amelyek ezeket a biztonsági hiányosságokat foltozzák be. Az SE Android egyelőre csak forráskódként érhető el, a disztribúció a nyílt forrású Android Open Source Project módosításával jött létre. További részletek az SE Android projekt weboldalán érhetők el.