Mellékleteink: HUP | Gamekapocs
Keres

Az androidos alkalmazások negyede gyanús

Bodnár Ádám, 2012. november 23. 10:29
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az ősz elején átfogó vizsgálatot végzett az androidos alkalmazások körében a Bit9. A cél annak felderítése volt, mennyire lehet megbízni ezekben a szoftverekben. Az eredmény kiábrándító, a Play Store-ból letölthető programok negyede minimum gyanús.

A Bit9 az elérhető 700 ezer androidos alkalmazás több mint felét vizsgálta meg a Play Store-ban és 100 ezernek a kódját is ellenőrizte, arra keresve a választ, vajon mennyire lehet megbízni bennük. Az eredmények váratlanok, a 400 ezer megvizsgált program 72 százalékának a telepítése legalább egy "magas kockázatú" engedélyt kér a felhasználótól, a Google besorolása szerint azok számítanak ide, amelyek személyes információkhoz férnek hozzá vagy a készüléket úgy tudják befolyásolni, hogy abból a felhasználónak hátránya származzon. A megvizsgált 400 ezer program 72 százaléka legalább egy, 21 százalék pedig legalább 5 kockázatos engedélyt kér a telepítésekor.

Nézzük meg, mire kér engedélyt egy program!

Hogy egy alkalmazás hozzáfér személyes adatokhoz, a névjegyzékhez, levelekhez vagy a lokációs információkhoz, nem jelenti feltétlenül azt, hogy ezekkel az információkkal a program vagy annak fejlesztője vissza is él. Azonban mivel a szoftver jogosan fér hozzájuk, biztonsági kockázatot jelent, mivel gondatlan programozás, szoftverhiba vagy sebezhetőség révén ezek az információk más alkalmazások vagy támadó kódok számára is hozzáférhetővé válhatnak anélkül, hogy ez a felhasználó tudomására jutna.

Sok program kér engedélyt olyan funkciókhoz, amelyhez a működéséhez látszólag semmi szüksége nem lenne és ezek a szoftverek gyakran tévesztik meg a felhasználókat a nevükkel például. A biztonsági cég több mint 100 olyan programra bukkant a Play Store-ban, amelynek a neve tartalmazta az Angry és Birds szavakat, ezek közül azonban csak 4 származott az Angry Birds jogtulajdonosától, a Roviótól. Van olyan, "Angry Birds Best Wallpapers" szoftver, amely telepítésekor a felhasználó földrajzi helyzetéhez, névjegyzékéhez és a telefonhívásokhoz is hozzáférést kér, ami egy háttérképeket letöltő program esetén nehezen magyarázható. Ezt a szoftvert egyébként több mint 10 ezren töltötték már le a Play Store-ból.

A Bit9 felmérésében vizsgált programok 42 százaléka kért hozzáférést a GPS adatokhoz, 31 százalék a tárcsázóhoz vagy a híváslistához, 26 százalék személyes adatokhoz (pl. emailek, névjegyzék), 9 százalék pedig olyan engedélyeket kért, amelyek birtokában például SMS-eket küldhetett vagy hívást indíthatott. A vizsgált szoftverek 1 százaléka a telefonon elérhető közösségi fiókok információkhoz is hozzáfér.

Nehezen felmérhető kockázatok

A felhasználók persze ritkán nézik át alaposan egy alkalmazás telepítése előtt, mihez kér engedélyt a program, a Google rendszerében pedig nincs lehetőség ezeknek a jogosultságoknak a finom szabályozására - vagy mindent engedélyezünk az appnak, vagy semmit, de akkor nem települ. Sokan valószínűleg fel sem tudják mérni, egy alkalmazás mire kér engedélyt, mivel nem értik a technikai részleteket, a telepítéskor megjelenő párbeszédablakbakban pedig nincs elég hely annak részletes leírására, hogy az engedélyezés milyen kockázatokkal járhat. Egy hosszabb leírást a végfelhasználói licencmegállapodásokhoz (EULA) hasonlóan valószínűleg senki sem olvasna el.

Az okostelefonjukra pedig a legtöbben a mai napig nem tekintenek úgy mint potenciális támadási célpontra, pedig ezeken a készülékeken elérhető például az ismerősök neve, telefonszáma, email címe vagy akár banki adatok is a megfelelő alkalmazásokban. A felhasználókban még nem alakult ki semmilyen félelemérzet és egy ismeretlen alkalmazásnak is könnyen adnak hozzáférési jogosultságot személyes információkhoz - a PC-jükre valószínűleg sosem engednének be egy ilyen programot.

A cégek nem nézik, mit telepít a felhasználó

A biztonsági cég az androidos piactér vizsgálata mellett egy kérdőíves felmérést is végzett közel 140 informatikai vezető körében. Noha a válaszadók 78 százaléka gondolta úgy, hogy az okostelefon-gyártók nem foglalkoznak eleget a biztonsági kérdésekkel, 71 százalékuknál engedélyezett az alkalmazottak számára a saját tulajdonú okostelefonok használata munka céljára. A megkérdezettek 68 százaléka a biztonságot jelölte meg elsődleges aggodalomnak a BYOD ("bring your own device") mozgalom kapcsán, ugyanakkor csak 24 százalék kontrollálja az alkalmazottak okostelefonján futó programokat és csak 37 százalék írja elő az okostelefonokra biztonsági szoftver telepítését.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.