Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Megérkezett Androidra a hívástitkosító CryptTalk

Habók Lilla, 2018. május 30. 17:30

Műszakilag és üzletileg is elérkezettnek látta az időt a magyar alapítású cég, hogy megjelentesse a CryptTalk androidos alkalmazását, évekkel az iOS változat után. A fejlesztők szerint csak az Android 6.0-tól kezdve garantálható a hívások biztonsága.

hirdetés

Már az androidos felhasználók is letölthetik készülékeikre az eddig csak iOS-ről elérhető CryptTalk hívástitkosító megoldást, legalábbis ha Android 6.0 vagy annál magasabb verziójú telefonnal rendelkeznek. Az alkalmazást fejlesztő, stockholmi operációs- és budapesti fejlesztőközponttal működő Arenim Technologies szerint ugyanis a védelem egyik kulcsa a megfelelő biztonsági funkciókat nyújtó operációs rendszer, amelyek az Android esetében csak a 6-os verziótól kezdődően érhetőek el. Ez garantálja, hogy észrevétlenül semmilyen alkalmazás ne férhessen hozzá az eszköz mikrofonjához, hangszórójához, memóriájához, vagy bármely más részéhez, ahol az adatbiztonság sérülhet - részletezi a közlemény.

Ahogy Kun Szabolcs vezérigazgató a HWSW-nek még 2015-ben adott interjúban elmondta, a fejlesztés korai szakaszában az Apple operációs rendszere az Androidhoz képest jóval kevesebb kockázattal járó platformot jelentett. Mivel ebben az esetben nem kellett foglalkozni a gyártók egyedi módosításaival, az eltérő hardveres felépítésekből adódó kompatibilitási és optimalizálási kérdésekkel sem. Mostanra viszont a cég üzletileg és műszakilag is elérkezettnek látta az időt, hogy megjelenjen az androidos alkalmazással.

crypttalk_android

Miért kellett az app megjelenésével ennyit várni, miközben az Android 6.0 már két és fél éve elérhető? Erre a kérdésünkre ezúttal is Kun Szabolcs válaszolt, aki elmondta, hogy biztonsági szempontból akkoriban az androidos ökoszisztémán belül három irány is megjelent, és a fejlesztők számára nem volt nyilvánvaló, hogy melyiket érdemes támogatni - a Trusted Execution Environment (TEE) megközelítést, a Samsung-féle Knox biztonsági platformot vagy az olyan jellegű custom operációs rendszereket, mint amilyennel a Silent Circle is elindult. A Google azonban egy ideje egyértelműen a TEE irányába tolja az androidos biztonságot, így egyértelművé vált a platform biztonságának jövője is.

Maga az alkalmazásfejlesztés ez után kezdődhetett, ami összességében 8-10 hónapig tartott, és már másfél éve elkészült. Viszont a további alapos tesztelés és auditálás alaposan elhúzta az app tényleges megjelenését. Érthető, hogy kiberbiztonsági szempontból teljesen körültekintőnek kellett lenni, és hogy minden funkciót ugyanúgy biztosítani az androidos mint az iOS változatban. "Az algoritmus 100 százalékban ugyanaz" - mondta az alapító, hiszen az iPhone és az Android felhasználók egymással is szoktak beszélgetni, ezért a titkosítási folyamatnak ugyanúgy kell működnie.

Tehát a CryptTalk mindkét verzióban a végpontok közötti (end-to-end) titkosítást alkalmazza, miközben a szolgáltatás használatához szükséges szerver csak a hanghívás felépítésében, az eszközvédelemben és a felhasználó hitelesítésében kap szerepet, de a titkosítás feloldásához szükséges kulcs nincs a központi rendszerben. A TLS protokollon keresztül a hívásban részt vevő készülékek közötti kulcscsere 384 bites elliptikus Diffie-Hellmannal történik, majd a hívás bontása után a rendszer azonnal törli a kulcsot a készülékek memóriájából. Az alkalmazás felismeri a telefon feltörésére tett kísérletet is (jailbrake vagy root), és ilyen esetben jelzi a hívó és a hívott félnek, hogy a hívás biztonságát a továbbiakban nem tudja garantálni a szolgáltatás - hiszen ha a végpont sebezhető, akkor a fejlettebb támadókkal szemben a végpontok közötti titkosítás nem sokat ér. A szoftveres védelmet pedig kiegészítheti a gyárilag beépített titkosító chip, az iOS után már androidos készülékeken is.

Már ideje volt megjelenni Androidon

Az alkalmazás egyéni előfizetők és vállalati felhasználók számára egyaránt elérhető, de utóbbi jelenti a fő irányvonalat. Kun Szabolcstól megtudtuk, hogy jó néhány projektet amiatt nem tudtak elindítani, mert a vállalaton belül vegyes eszközkészlet működött, azaz a cég androidos és iOS-készülékeket is biztosított a munkavállalóinak, de a CryptTalk csak utóbbin működött. Úgyhogy az Arenim nagy hiányosságot pótol most az androidos megjelenéssel.

Mindemellett a vállalati alkalmazás volt az egyszerűbb megoldás - árulta el a vezérigazgató. Ugyanis a magán felhasználóknál a fizetési integrációt is meg kellett oldani, és szintén sok időt vett igénybe ennek kapcsán a kínai támadók elleni védelem, akik ingyen akarják használni az appot, de sikertelenül. Ez is nagy különbség az iOS-es megjelenéshez képest, hogy a bevezetési időszakban sem lesz ingyen kipróbálási időszak, mivel nagyon alacsony volt a konverzió, és nem akar a cég azonosítatlan felhasználókat sem kezelni, amit a banki fizetéssel tud kizárni.

Az alkalmazás magánszemélyeknek és kisvállalkozásoknak szóló változata itt elérhető, csomagonként nagyjából 5500-12500 forint közötti előfizetési összeggel. A vállalatoknak szóló Pro változatra nem lehet a Google Play-ből előfizetni, csak a cégen keresztül.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.