Szerző: Bodnár Ádám

2012. november 23. 10:29

Az androidos alkalmazások negyede gyanús

Az ősz elején átfogó vizsgálatot végzett az androidos alkalmazások körében a Bit9. A cél annak felderítése volt, mennyire lehet megbízni ezekben a szoftverekben. Az eredmény kiábrándító, a Play Store-ból letölthető programok negyede minimum gyanús.

A Bit9 az elérhető 700 ezer androidos alkalmazás több mint felét vizsgálta meg a Play Store-ban és 100 ezernek a kódját is ellenőrizte, arra keresve a választ, vajon mennyire lehet megbízni bennük. Az eredmények váratlanok, a 400 ezer megvizsgált program 72 százalékának a telepítése legalább egy "magas kockázatú" engedélyt kér a felhasználótól, a Google besorolása szerint azok számítanak ide, amelyek személyes információkhoz férnek hozzá vagy a készüléket úgy tudják befolyásolni, hogy abból a felhasználónak hátránya származzon. A megvizsgált 400 ezer program 72 százaléka legalább egy, 21 százalék pedig legalább 5 kockázatos engedélyt kér a telepítésekor.

Nézzük meg, mire kér engedélyt egy program!

Hogy egy alkalmazás hozzáfér személyes adatokhoz, a névjegyzékhez, levelekhez vagy a lokációs információkhoz, nem jelenti feltétlenül azt, hogy ezekkel az információkkal a program vagy annak fejlesztője vissza is él. Azonban mivel a szoftver jogosan fér hozzájuk, biztonsági kockázatot jelent, mivel gondatlan programozás, szoftverhiba vagy sebezhetőség révén ezek az információk más alkalmazások vagy támadó kódok számára is hozzáférhetővé válhatnak anélkül, hogy ez a felhasználó tudomására jutna.

Sok program kér engedélyt olyan funkciókhoz, amelyhez a működéséhez látszólag semmi szüksége nem lenne és ezek a szoftverek gyakran tévesztik meg a felhasználókat a nevükkel például. A biztonsági cég több mint 100 olyan programra bukkant a Play Store-ban, amelynek a neve tartalmazta az Angry és Birds szavakat, ezek közül azonban csak 4 származott az Angry Birds jogtulajdonosától, a Roviótól. Van olyan, "Angry Birds Best Wallpapers" szoftver, amely telepítésekor a felhasználó földrajzi helyzetéhez, névjegyzékéhez és a telefonhívásokhoz is hozzáférést kér, ami egy háttérképeket letöltő program esetén nehezen magyarázható. Ezt a szoftvert egyébként több mint 10 ezren töltötték már le a Play Store-ból.

Fejlesztő vagy? Segíts! Hack the Crisis. Gyere hétvégén fejleszteni, csatlakozz a hazai fejlesztői közösséghez!

A Bit9 felmérésében vizsgált programok 42 százaléka kért hozzáférést a GPS adatokhoz, 31 százalék a tárcsázóhoz vagy a híváslistához, 26 százalék személyes adatokhoz (pl. emailek, névjegyzék), 9 százalék pedig olyan engedélyeket kért, amelyek birtokában például SMS-eket küldhetett vagy hívást indíthatott. A vizsgált szoftverek 1 százaléka a telefonon elérhető közösségi fiókok információkhoz is hozzáfér.

Nehezen felmérhető kockázatok

A felhasználók persze ritkán nézik át alaposan egy alkalmazás telepítése előtt, mihez kér engedélyt a program, a Google rendszerében pedig nincs lehetőség ezeknek a jogosultságoknak a finom szabályozására - vagy mindent engedélyezünk az appnak, vagy semmit, de akkor nem települ. Sokan valószínűleg fel sem tudják mérni, egy alkalmazás mire kér engedélyt, mivel nem értik a technikai részleteket, a telepítéskor megjelenő párbeszédablakbakban pedig nincs elég hely annak részletes leírására, hogy az engedélyezés milyen kockázatokkal járhat. Egy hosszabb leírást a végfelhasználói licencmegállapodásokhoz (EULA) hasonlóan valószínűleg senki sem olvasna el.

Az okostelefonjukra pedig a legtöbben a mai napig nem tekintenek úgy mint potenciális támadási célpontra, pedig ezeken a készülékeken elérhető például az ismerősök neve, telefonszáma, email címe vagy akár banki adatok is a megfelelő alkalmazásokban. A felhasználókban még nem alakult ki semmilyen félelemérzet és egy ismeretlen alkalmazásnak is könnyen adnak hozzáférési jogosultságot személyes információkhoz - a PC-jükre valószínűleg sosem engednének be egy ilyen programot.

A cégek nem nézik, mit telepít a felhasználó

A biztonsági cég az androidos piactér vizsgálata mellett egy kérdőíves felmérést is végzett közel 140 informatikai vezető körében. Noha a válaszadók 78 százaléka gondolta úgy, hogy az okostelefon-gyártók nem foglalkoznak eleget a biztonsági kérdésekkel, 71 százalékuknál engedélyezett az alkalmazottak számára a saját tulajdonú okostelefonok használata munka céljára. A megkérdezettek 68 százaléka a biztonságot jelölte meg elsődleges aggodalomnak a BYOD ("bring your own device") mozgalom kapcsán, ugyanakkor csak 24 százalék kontrollálja az alkalmazottak okostelefonján futó programokat és csak 37 százalék írja elő az okostelefonokra biztonsági szoftver telepítését.

a címlapról