Google: biztonságos az Android
Ragyogó bizonyítvánnyal dicsekszik a Google, a cég frissen kiadott 2015-ös éves biztonsági jelentésében a potenciálisan káros alkalmazások ellen aratott sikerekről számol be. A havi biztonsági frissítések terítése azonban továbbra is masszív kudarc.
Jelentősen csökkenteni tudta az androidos eszközök fertőzöttségi mutatóit a Google - hozza győzelmi jelentésként a cég 2015-ös éves biztonsági beszámolója. Eszerint a különböző potenciálisan kártékony alkalmazások (PHA-k) telepítési rátája átlagosan 40 százalékkal esett 2014-hez képest, így a fertőzöttségi arány 0,5 százalékra esett. Ezen belül azok az eszközök, amelyek kizárólag a Play Store-ból kapnak appokat és sem .apk-ból, sem alternatív boltból nem töltenek le alkalmazásokat, még jóval alacsonyabb, 0,15 százalékos mutatóval rendelkeznek. A különbséget egyébként az magyarázza, hogy a Play Store-ban (a Google adatai szerint) tized akkora az esélye a kártékony alkalmazásnak, mint egyéb külső alkalmazásboltok esetében.
Azt érdemes megjegyezni, hogy a Google ernyője kizárólag azokra az androidos eszközökre terjed ki, amelyek a cég ökoszisztémáját használják, a szabad szoftveres Android (AOSP) forkolásával készített termékek, mint a kínai belpiacos modellek vagy épp az Amazon androidos eszközei ebbe egyáltalán nem tartoznak bele.
Védelem a felhőből
A biztonsági jelentés bemutatja a Google mobilos védelmi infrastruktúráját is, érdemes ezen még egyszer gyorsan végigmenni. A Verify Apps funkció az Android 4.2 óta a rendszer része, ez az alkalmazásokat telepítéskor és telepítés után is rendszeresen vizsgálja. A megoldás napi 6 milliárd telepített alkalmazást ellenőriz a Google szerint, és 400 millió eszközt véd a hálózati és az eszközön található fenyegetésektől. A rendszer mára komplex gépi tanulási és mintázatfelismerési funkciókkal gazdagodott, a potenciálisan káros appokat így nagy valószínűséggel tudja szűrni.
Ennek tudható be a Google szerint, hogy a kéretlen adatgyűjtést végző appok fertőzési aránya 40 százalékkal, a telepített bázis 0,08 százalékára esett, a spyware 60 százalékkal, 0,02 százalékra, az "ellenséges letöltő" pedig 0,01 százalékra zsugorodott. Ez utóbbi az olyan appokat jelenti, amelyek telepítés után további appokat töltenek le és igyekeznek telepíteni.
Történetek a sötét oldalról
A biztonsági jelentés néhány érdekes történetről is beszámol, illusztrálandó a Google erőfeszítéseit. Az egyik ilyen a Ghost Push PHA-családé, amelyet már 2014 októbere óta követ a vállalat. Ez a kártevő a már említett "hostile downloader" kategóriát gazdagítja, tehát letöltése után igyekszik a háttérben további alkalmazásokat telepíteni a felhasználó eszközére. A Ghost Push-t az emeli ki a hasonló PHA-k közül, hogy egészen elképesztően agresszív viselkedést mutatott, ez az egyetlen család globálisan az összes app-telepítési próbálkozás 30 százalékáért volt felelős egy hét hetes periódusban, a családot alkotó mintegy 40 ezer variáns összesen 3,5 milliárd telepítési kísérletet tett.
Azonnal felmerült persze a kérdés, hogy honnan jönnek ezek az alkalmazások - az eredmény pedig a Google biztonsági szakértőit is meglepte. Kiderült ugyanis, hogy a Ghost Push egy nagyobb cég infrastruktúráját használja, amelyet egyébként nagyobb gyártók és telekom-szolgáltatók is igénybe vesznek ahhoz, hogy az eszközeikre OTA frissítéseket küldjenek ki, vagy utólag háttérben appokat küldjenek le ezekre. A Délkelet-Ázsiában működő szolgáltató azonban nem csak ezzel foglalkozik, hanem alkalmazástelepítést is kínál partnerek számára, "fejlesztők és hirdetők fizethetnek azért, hogy a cég távolról alkalmazásokat telepítsen az eszközökre".
A vizsgálat kiderítette, hogy ez a cég telepítette távolról a Ghost Push alkalmazást is, és volt felelős a rendkívül nagy számú telepítési próbálkozásért is. A rendszer újra és újra megpróbálta telepíteni az appot, egy alkalmazáshibának köszönhetően készülékenként akár több százszor is. A hihetetlen csattanó: a Google ennek ellenére nem vonta meg a bizalmat ettől a szolgáltatótól, inkább együtt dolgozik a céggel azon, hogy jobban megnézzék, milyen appokat telepítenek távolról a felhasználók eszközeire. A történetben egyébként mintegy 4 millió androidos eszköz érintett, ezek 90 százalékát pedig közös erőfeszítéssel mára sikerült feltakarítani.
Egy másik PHA-történet Oroszországból származik, ahol egy phishing-támadás egy helyi bank ügyfeleit vette célba. A családhoz tartozó alkalmazások csendben várták, hogy a bank kiküldje a kétfaktoros azonosításhoz szükséges SMS-t az ügyfél telefonjára, majd ennek birtokában igyekezett pénzt szerezni az ügyfél számlájáról. Az érintett eszközök száma 100 ezer alatt volt, a célzott támadás lévén magasnak számít.
Az ügyben a Google a bank biztonsági szakértőivel működött együtt, közösen vizsgálták meg a problémát, gyűjtöttek mintát a kártékony alkalmazásokból, majd távolították el azokat az ügyfelek telefonjairól - ez volt az első eset, hogy a keresőóriás ilyen szorosan együttműködött egy külső partnerrel. A takarítás egyébként két lépcsőben zajlott, előbb a Verify Apps-féle ellenőrzéseket sűrítették, a második lépcsőben pedig megváltoztatták a Verify Apps viselkedését, amely így eltávolította az alkalmazást és értesítette a telefon felhasználóját. Ez nem az alapértelmezett működés, normál esetben a felhasználó előbb értesítést kap, amelynek birtokában dönthet az app eltávolításáról. A beavatkozás mindenesetre sikeres volt a Google szerint, 11 hét után az érintett eszközök száma 80 százalékkal esett - annak ellenére, hogy a támadók eközben fokozták a malware reklámozását és terjesztését.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A cég kitért a híres Stagefright sebezhetőségre is, amely az androidos készülékek jelentős részén továbbra is foltozatlanul tátong. Ugyan laboratóriumi körülmények között biztonsági kutatók (köztük a Google Project Zero csapata is) demózott olyan támadást, ami ezt a sebezhetőséget használja, "vadon", valódi támadás azonban egyelőre nem érte a felhasználói eszközöket - legalábbis a Google-nek nincs tudomása ilyenről.
Havi frissítések - hol vannak az igazán fontos adatok?
A sok ragyogó statisztika közé azonban nem került be a legfontosabb: pontosan az androidos (vagy Google-féle androidos) ökoszisztéma mekkora részét fedik le a gyártók rendszeres biztonsági frissítésekkel? A Google ugyanis egy ideje elindította az androidos "patch keddet", a rendszeres havi frissítések azonban csak a telepített bázis töredékére érkeznek meg - azt pedig nem közli a cég, hogy ez az arány pontosan mekkora. Eufemisztikusan csak annyi információt tartalmaz a vonatkozó blogbejegyzés, hogy "felhasználók százmilliói" telepítenek havi frissítést az eszközeikre, a lassan kétmilliárd körül járó telepített bázishoz viszonyítva az nevetségesen kevés.
A vállalat már korábban bevezette a "patch level" kijelzést, ami a felhasználó számára is egyértelműen kijelzi, hogy milyen biztonsági szintet nyújt a telefon, ezt egész egyszerűen évszám-hónap kombinációval jelzi ki a telefon, és a legutolsó kumulatív patchre vonatkozik.