Nem sokat törődtek az Android biztonságával
Az Android biztonságával kapcsolatban számos tévhit él a köztudatban - mondja Veres-Szentkirályi András, a Silent Signal IT-biztonsági szakértője, akivel az Ethical Hacking konferencián a témában tartott előadása kapcsán beszélgettünk.
Napjaink legsikeresebb operációs rendszere vitán felül a Google Android, amely néhány évvel megszületése után már a legnagyobb piaci részesedéssel rendelkezik az okostelefonok területén. A platform gyors fejlődéséről, kényelméről, használhatóságáról és fejlesztői támogatottságáról szóló hírek mellett viszonylag kevés szó esik a biztonságról - pedig van miről beszélni.
A platform szintjén is sebezhető
Azzal, hogy a Google lecserélt mindent a Linux kernel felett, végeredményben fokozta a biztonságot, de a cég távolról sem tett meg mindent annak érdekében, hogy egy valóban robusztus platform jöjjön létre - kezdte a beszélgetést Veres-Szentkirályi András. Az Android alatt működő Linux ugyan egy önálló kernelfába került, amelyet a Google tart karban, de biztonságot érintő változtatásokat nem vezettek át, még a széles körben ismert és használt grsecurity patchkészletet sem kapta meg. Az ARM utasításkészlet-architektúrában számos elem található, amelyek a biztonságot hivatottak fokozni (pl. TrustZone, ExecuteNever), de az Android ezeket sem használja ki. Ez a gyakorlatban azt jelenti, hogy a Linux kernel sebezhetőségeivel az Android is támadható - összegez a Silent Signal szakértője, aki a tavalyi Ethical Hackingen különféle Linux-töréseket mutatott be.
Javítás érkezik
A Google operációs rendszerén az alkalmazások a Dalvik nevű virtuális gépen futnak, ez azonban nem jelenti azt, hogy teljesen szeparálva lennének egymástól vagy a kerneltől. Lehetséges olyan kódot írni Androidra, és többen meg is tették már, amely "kiugrik" a virtuális gépből és hozzáfér a kernelhez - így működnek például azok a szoftverek, amelyek "rootolják" a telefont és teljes rendszergazdai jogosultságot adnak a tulajdonosnak. A Dalvikból kiugráshoz és a kernel eléréséhez szükséges trükkök ismertek és jól dokumentáltak, ha valaki talál egy kernelsebezhetőséget, könnyedén készíthet olyan szoftvert, amely azt kihasználva korlátlan jogosultsággal garázdálkodik a telefonon.
Biztonsági szempontból kockázatot jelent az is, hogy a Marketből letölthető és telepíthető alkalmazások nincsenek a Google által aláírva, valamint hogy lehetséges utólagos kód letöltése is - magyarázza Veres-Szentkirályi András. Így aztán előfordulhat, és elő is fordult, hogy valaki egy ártalmatlannak tűnő alkalmazást feltesz a Marketre, megvárja hogy sokan letöltsék és utólag tölti bele a kártékony kódot. Az Androidon teljes hozzáférést szerezhet egy támadó, elolvashatja a felhasználó leveleit, SMS-eit, kiolvashatja névjegyzékét és naptárját, de akár a különféle online szolgáltatásokhoz és fiókokhoz (pl. Gmail, Facebook, Twitter) tartozó hozzáférési tokeneket is, amelyek birtokában a teljes online személyiséget "ellophatja".
A felhasználó a legkönnyebben törhető
Az Android platform tehát küzd biztonsági kihívásokkal, de az alkalmazások szintjén ez még inkább tetten érhető. A Silent Signal szakértője szerint az okostelefonok piaci hódításával szaporodó mobilos alkalmazásfejlesztők mintha teljesen elfelejtették volna azokat a módszereket és előírásokat, amelyekkel az alkalmazásokat biztonságossá lehet tenni. Az Ethical Hacking konferencián Veres-Szentkirályi András ezt a Sanoma által Androidra kiadott Profession alkalmazás segítségével demonstrálta - némi ügyeskedéssel az álláskereső oldal teljes adatbázisát ki lehet "szívni", és ehhez nem szükséges semmit sem feltörni vagy meghackelni.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Felhasználóként az androidos készülékek biztonságáért egyelőre nem sokat lehet tenni: érdemes az Android Marketen elolvasni a programról írt kritikákat és távol maradni azoktól, amelyek a visszajelzések szerint nem működnek - ez annak a jele lehet, hogy a program csak afféle "csalétek" vagy titokban hajt végre valamit. Emellett telepítés előtt érdemes arról is tájékozódni, mire is kér engedélyt egy alkalmazás - ha engedélyt kér valamire, valószínűleg meg is fogja tenni. Az egyik ismert androidos kártevő például orosz telefonszámokra küldött emelt díjas SMS-eket - a telepítés előtt engedélyt is kért az SMS-küldésre, a felhasználók pedig adtak is neki. Itt is van azonban probléma, a jogosultságokat nem lehet egyenként engedélyezni vagy tiltani, egy program telepítéséhez az összeset jóvá kell hagyni.