Szerző: Dojcsák Dániel

2013. november 26. 15:00:00

Tesztelheted, hogy mennyire veszélyesek az appjaid!

Ugyan az Android biztonságosnak titulált rendszer, hiszen minden telepítés előtt a felhasználók tudomására hozza, hogy az adott app milyen jogosultságokat kér, de mindez többnyire csak porhintés, hiszen a felhasználók többsége nem tudja megítélni, mik a veszélyes elemek.

Talán a legtöbben valamiféle idegesítő lassításnak gondolják és azonnal a “next” vagy “install” gombra csapnak, amikor megjelenik a lista a mobilapp által kért jogosultságokkal. Ha valaki valaha vette a fáradságot arra, hogy megvizsgálja, mik szerepelnek itt, akkor tudja, hogy szinte minden program kér engedélyt hálózati kommunikációra, a telefon ébrentartására, gyakori a telefon státus lekérdezés, közösségi adatbázisokhoz való hozzáférés vagy éppen a névjegyzék olvasása, esetleg szerkesztése.

Izgalmasabb szituáció, amikor egy alkalmazás SMS-küldésre kér engedélyt vagy általában véve olyan szolgáltatásokat használna, amik pénzbe kerülhetnek. Egy átlagos felhasználó számára azonban a teljes internetes hozzáférés pontosan olyan ijesztő, mint a névjegyzék szabad módosítása, a többség nem tud vagy nem is akar eligazodni, egyszerűen átugorja ezt a lépést és megbízik az alkalmazásban.

Veszélyes-e, ha teszi a dolgát?

A nagyobb, jó nevű fejlesztőknél általában nincs is visszaélés, leginkább azért, mert az ő alkalmazásaikat sokan árgus szemekkel figyelik, világraszóló botrány lesz előbb-utóbb abból, ha mondjuk az Angry Birds adatokat lopkod. Ellenben az alkalmazás-piacterek “long tail” kínálatában tízezrével megtalálható, laikusok számára hasznosnak tűnő appok közül rengeteg enyhe vagy akár komolyabb visszaéléseket is véghezvisz. Vajon egy háttérképeket cserélgető app miért akar SMS-t küldeni, vajon egy kártyajáték miért szeretné módosítani a névjegyzéket?

A felesleges jogosultságok mögött szerencsére ritkább esetben van rosszindulat, nem az a jellemző, hogy egy app mögött bűnözők állnak, akik okostelefon-botnetet terelgetnek. Sokkal gyakoribb eset, hogy a fejlesztők egyben átemelt librarykat használnak, integrálnak hirdetési rendszereket vagy egyéb funkcionális modulokat, amik alapértelmezettként bekapcsolva tartanak bizonyos jogokat, mert egyes esetekben erre valóban szükség lehet. Az idő vagy a szükséges fejlesztői tudás/tapasztalat hiánya miatt pedig ezek az ajtók nincsenek lezárva. Annak ellenére, hogy többnyire ezek a jogosultságok nincsenek használva, akkor is biztonsági kockázatot jelentenek.

A Google azon túl, hogy a felhasználók számára jelzi, hogy milyen app milyen jogokat kér, sok egyéb dolgot nem tud tenni. Az elmúlt évben megjelent egy új platformszintű szűrés a Jelly Bean verziójú Androidban, ahol a Play Store-on kívülről telepített APK-t is meg tudja nézni a Google védelmi programja és kiszűri a rosszindulatú kódokat tartalmazó telepítőket.

Azt a ziccert azonban egyelőre kihagyta a Google, hogy részletes jelentéseket mutasson az aktuális biztonsági helyzetről egy készülék használójának. A Bitdefender Clueful nevű ingyenes alkalmazása viszont éppen ezt valósítja meg: egyrészt minden telepítéskor felhívja a figyelmet a száraz lista ismertetésével párhuzamosan az esetleges veszélyekre, illetve bármikor lekérhető egy részletes riport a mobilon telepített appok viselkedésével kapcsolatban.

Mi történik egy mobilappal a születése után? Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel.

A Clueful egy központi, frissen tartott adatbázisból nyeri ki az információkat ahhoz, hogy megítélje egy-egy program veszélyességét. A bármikor lefuttatható teszten a maximum megszerezhető pontszám 100, de ez gyakorlatilag elérhetetlen. A saját készüléken futtatva az 51 telepített alkalmazásból 17-et kissé veszélyesnek, 33-at pedig közepesen veszélyesnek ítélt meg. A kért jogosítványokat a Clueful színkódokkal jelzi, ahol a zöld az ártalmatlan, a sárga a megfontolásra javasolt, a piros pedig a kerülendő. A zöldek között például a közösségi hálózatokkal való összekötés lehetősége is ott van, míg sárgával jelöli a Clueful, ha a vizsgált app tud telefonálni, sms-t küldeni vagy lokációt meghatározni.

Nem lettem okosabb

A probléma az, hogy ezek az adatbázisok sem magas szinten szerkesztettek, hiszen teljesen érthető, hogy például az Any.do app tud telefonhívást kezdeményezni, hiszen az egyik képessége, hogy a nem fogadott hívásokból teendőlista-bejegyzést készít, amiből egy mozdulattal hívást is lehet indítani. Ugyanígy hihető, hogy a mobilparkolás app tud SMS-t küldeni, vagy az, hogy az edzésekhez fotót illeszteni képes Endomondo tudja olvasni a képgalériát.

Ha valaki csak sárga és zöld appokat használ, akkor megnyugodhat, de a Clueful képes külön listázni azokat a programokat, amik fizetős szolgáltatásokat tudnak igénybe venni vagy amik érzékeny adatokhoz is hozzáférhetnek. Egyszer mindenkinek érdemes lehet átfutni, hogy talál-e bármi meglepőt, de sajnos a Bitdefender programja sem oldotta meg ezt a problémát, hiszen épp a laikusok nem lesznek képesek megítélni a sárga, közepesen rizikósnak jelölt appok helyzetét, felesleges pánikot keltve egyes felhasználókban.

Az androidos alkalmazások biztonságával külön előadás foglalkozik a HWSW és az IT Factory decemberben induló közös fejlesztői képzésén, amelyről bővebb információ itt érhető el.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 26. 08:27

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.