Mellékleteink: HUP | Gamekapocs
Keres

Tesztelheted, hogy mennyire veszélyesek az appjaid!

Dojcsák Dániel, 2013. november 26. 15:00
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Ugyan az Android biztonságosnak titulált rendszer, hiszen minden telepítés előtt a felhasználók tudomására hozza, hogy az adott app milyen jogosultságokat kér, de mindez többnyire csak porhintés, hiszen a felhasználók többsége nem tudja megítélni, mik a veszélyes elemek.

Talán a legtöbben valamiféle idegesítő lassításnak gondolják és azonnal a “next” vagy “install” gombra csapnak, amikor megjelenik a lista a mobilapp által kért jogosultságokkal. Ha valaki valaha vette a fáradságot arra, hogy megvizsgálja, mik szerepelnek itt, akkor tudja, hogy szinte minden program kér engedélyt hálózati kommunikációra, a telefon ébrentartására, gyakori a telefon státus lekérdezés, közösségi adatbázisokhoz való hozzáférés vagy éppen a névjegyzék olvasása, esetleg szerkesztése.

Izgalmasabb szituáció, amikor egy alkalmazás SMS-küldésre kér engedélyt vagy általában véve olyan szolgáltatásokat használna, amik pénzbe kerülhetnek. Egy átlagos felhasználó számára azonban a teljes internetes hozzáférés pontosan olyan ijesztő, mint a névjegyzék szabad módosítása, a többség nem tud vagy nem is akar eligazodni, egyszerűen átugorja ezt a lépést és megbízik az alkalmazásban.

Veszélyes-e, ha teszi a dolgát?

A nagyobb, jó nevű fejlesztőknél általában nincs is visszaélés, leginkább azért, mert az ő alkalmazásaikat sokan árgus szemekkel figyelik, világraszóló botrány lesz előbb-utóbb abból, ha mondjuk az Angry Birds adatokat lopkod. Ellenben az alkalmazás-piacterek “long tail” kínálatában tízezrével megtalálható, laikusok számára hasznosnak tűnő appok közül rengeteg enyhe vagy akár komolyabb visszaéléseket is véghezvisz. Vajon egy háttérképeket cserélgető app miért akar SMS-t küldeni, vajon egy kártyajáték miért szeretné módosítani a névjegyzéket?

A felesleges jogosultságok mögött szerencsére ritkább esetben van rosszindulat, nem az a jellemző, hogy egy app mögött bűnözők állnak, akik okostelefon-botnetet terelgetnek. Sokkal gyakoribb eset, hogy a fejlesztők egyben átemelt librarykat használnak, integrálnak hirdetési rendszereket vagy egyéb funkcionális modulokat, amik alapértelmezettként bekapcsolva tartanak bizonyos jogokat, mert egyes esetekben erre valóban szükség lehet. Az idő vagy a szükséges fejlesztői tudás/tapasztalat hiánya miatt pedig ezek az ajtók nincsenek lezárva. Annak ellenére, hogy többnyire ezek a jogosultságok nincsenek használva, akkor is biztonsági kockázatot jelentenek.

A Google azon túl, hogy a felhasználók számára jelzi, hogy milyen app milyen jogokat kér, sok egyéb dolgot nem tud tenni. Az elmúlt évben megjelent egy új platformszintű szűrés a Jelly Bean verziójú Androidban, ahol a Play Store-on kívülről telepített APK-t is meg tudja nézni a Google védelmi programja és kiszűri a rosszindulatú kódokat tartalmazó telepítőket.

Azt a ziccert azonban egyelőre kihagyta a Google, hogy részletes jelentéseket mutasson az aktuális biztonsági helyzetről egy készülék használójának. A Bitdefender Clueful nevű ingyenes alkalmazása viszont éppen ezt valósítja meg: egyrészt minden telepítéskor felhívja a figyelmet a száraz lista ismertetésével párhuzamosan az esetleges veszélyekre, illetve bármikor lekérhető egy részletes riport a mobilon telepített appok viselkedésével kapcsolatban.

A Clueful egy központi, frissen tartott adatbázisból nyeri ki az információkat ahhoz, hogy megítélje egy-egy program veszélyességét. A bármikor lefuttatható teszten a maximum megszerezhető pontszám 100, de ez gyakorlatilag elérhetetlen. A saját készüléken futtatva az 51 telepített alkalmazásból 17-et kissé veszélyesnek, 33-at pedig közepesen veszélyesnek ítélt meg. A kért jogosítványokat a Clueful színkódokkal jelzi, ahol a zöld az ártalmatlan, a sárga a megfontolásra javasolt, a piros pedig a kerülendő. A zöldek között például a közösségi hálózatokkal való összekötés lehetősége is ott van, míg sárgával jelöli a Clueful, ha a vizsgált app tud telefonálni, sms-t küldeni vagy lokációt meghatározni.

Nem lettem okosabb

A probléma az, hogy ezek az adatbázisok sem magas szinten szerkesztettek, hiszen teljesen érthető, hogy például az Any.do app tud telefonhívást kezdeményezni, hiszen az egyik képessége, hogy a nem fogadott hívásokból teendőlista-bejegyzést készít, amiből egy mozdulattal hívást is lehet indítani. Ugyanígy hihető, hogy a mobilparkolás app tud SMS-t küldeni, vagy az, hogy az edzésekhez fotót illeszteni képes Endomondo tudja olvasni a képgalériát.

Ha valaki csak sárga és zöld appokat használ, akkor megnyugodhat, de a Clueful képes külön listázni azokat a programokat, amik fizetős szolgáltatásokat tudnak igénybe venni vagy amik érzékeny adatokhoz is hozzáférhetnek. Egyszer mindenkinek érdemes lehet átfutni, hogy talál-e bármi meglepőt, de sajnos a Bitdefender programja sem oldotta meg ezt a problémát, hiszen épp a laikusok nem lesznek képesek megítélni a sárga, közepesen rizikósnak jelölt appok helyzetét, felesleges pánikot keltve egyes felhasználókban.

Az androidos alkalmazások biztonságával külön előadás foglalkozik a HWSW és az IT Factory decemberben induló közös fejlesztői képzésén, amelyről bővebb információ itt érhető el.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.