Szerző: Hlács Ferenc

2014. július 30. 11:13:00

Öröklődnek a biztonsági rések az androidos appokban

Biztonsági réseket és sebezhetőségeket is átvesznek sokszor az alkalmazásaikhoz felhasznált nyílt forrású kódokból az androidos fejlesztők. A Codenomicon szerint a legnépszerűbb appok közül minden második tartalmaz valamilyen biztonsági hibát, amelyet jó eséllyel készítőik figyelmetlensége miatt, máshonnan átvett kódból örököltek.

A legnépszerűbb androidos alkalmazások csaknem fele tartalmaz valamilyen sebezhetőséget a Codenomicon IT kutatócég szerint. A vállalat, amely az utóbbi hónapokban nagy port kavart, Heartbleed névre keresztelt súlyos OpenSSL sebezhetőségről is lerántotta a leplet, az androidos fejlesztőket okolja a biztonsági kockázatokért.  A cég vizsgálata szerint a Play Store ötven legnépszerűbb alkalmazásának mintegy fele használ olyan külső könyvtárakat, amelyek sebezhetőséget tartalmaznak, és ezzel maga az alkalmazás is sebezhetővé válik.

Ellenőrizni kellene

Az, hogy a programozók már létező kódokat-könyvtárakat vesznek át, önmagában nem baj, hiszen pontosan erre szolgálnak a nyílt forrású megoldások, hogy a fejlesztőknek ne kelljen olyan problémával bajlódni, amit mások korábban már megoldottak. Azonban ahogy Chester Wisniewski a Sophos vezető biztonsági tanácsadója a ReadWrite-nak elmondta, ez a gyakorlat számos veszéllyel is járhat, főleg mikor az appok titkosítási megoldásához vesznek át a fejlesztők kódokat. Wisnieski szerint ugyanis jó részüknek fogalma sincs hogyan kell elkészíteni egy kriptográfiai könyvtárat - de miután nem lehet minden alkalmazásfejlesztő járatos az összes létező kódtípusban ez nem igazán meglepő, sőt, jobb mintha mindenki saját megoldást írna.

A programozók legtöbb esetben sokkal jobban járnak a már létező, nyílt forrású kódokkal, hiszen amellett, hogy időt spórolnak velük, azok nagy valószínűséggel sokkal biztonságosabb megoldást jelentenek mint a saját maguk által összebarkácsolt titkosítási módszerek. Jó példa erre a hamarosan a Facebook tulajdonába kerülő WhatsApp üzenetküldő szolgáltatás, amelynek fejlesztői először saját készítésű biztonsági eljárásokkal próbálkoztak, ezzel pedig mint később kiderült, számos felhasználó adatait veszélybe sodorták.

Nincs ingyen ebéd

A megoldást tehát nem az jelenti, hogy minden fejlesztőnek el kell felejteni a már létező, nyílt kódokat, éppen ellenkezőleg: azokkal jóval nagyobb biztonságban tudhatják alkalmazásaikat mint saját szárnypróbálgatásaikkal - ugyanakkor, ahogy a Cryptonomicion vezető biztonsági szakértője Olli Jarva fogalmazott, a felhasznált kódra nem szabad "ingyen ebédként" tekinteni. Ez azt jelenti, hogy az egyes könyvtárakat a megfelelő módon tesztelni is kell, mielőtt azokat valaki használatba veszi. Saját szoftverbe beépíteni pedig csak azután szabad, hogy meggyőződtek róla, hogy nem tátonganak rajta biztonsági rések.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Emellett alapvető elvárás a folyamatos patchelés, azaz a biztonsági frissítések hozzáadása is rendkívül fontos, hogy az esetlegesen később felmerülő problémák ellen is védett legyen a szoftver. Vagyis az appunk frissítésekor ne csak a saját javításainkat küldjük ki, igyekezzünk a felhasznált külső könyvtárakból is mindig a legújabbat használni. Ez sokszor extra feladatot ró a fejlesztőre, ezt azonban érdemes és szükséges elvégezni.

Érdemes hanyagolni a fölösleges kódokat

Kétségtelen, hogy az átvett kódok tesztelése rendkívül időrabló folyamat lehet, hiszen jellemzően komplex, kiterjedt szolgáltatásokat nyújtó csomagokról van szó, amelynek jelentős részét az adott app jó eséllyel nem is használja. Kriptográfia esetén erre megoldás a kisebb méretű alternatív kriptográfiai könyvtárak használata, mint például a Google BoringSSL névre hallgató új csomagja, amelynél nem kell attól tartani, hogy a kihasználatlan funkciók fölösleges kódhegyeket halmoznak fel az appban - ezáltal pedig további potenciális hibaforrások is kiszűrhetők.

A Codenomicon tehát arra igyekszik felhívni a figyelmet, hogy nem csak az operációs rendszerben, hanem a körülötte kiépülő fejlesztői ökoszisztémában is lehetnek biztonsági szempontból problémás elemek - ez alól pedig a versengő platformok, az iOS vagy a Windows Phone sem immunis. A biztonsági kutatók részletesen az Egyesült Államokban augusztusban tartott Black Hat konferencián számolnak be a területen végzett vizsgálataik eredményeiről, ezt követően publikálják részletesen eredményeiket is a sebezhető könyvtárakról illetve a problémásnak talált népszerű alkalmazásokról.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról