Jste zde
Bezpečnostní střípky X
Květen 2014, díl 1.
připravil Tomáš Přibyl a kolektiv
Android & bezpečnost
Otevřený operační systém pro mobilní telefony Android se čím dál více dostává do popředí pozornosti – a to i z hlediska zajištění bezpečnosti. Jak je na tom tedy Android s bezpečností?
Vlastní Android je postavený na unixovém jádru, od čehož by se mohlo odvinout celé hodnocení. Nebylo by ale přesné: prakticky jakýkoliv z nejrozšířenějších operačních systémů lze nakonfigurovat a používat s velmi solidní bezpečnostní úrovní. Čili rozdíl budeme hledat jinde.
Ilustrovat si jej budeme na rozdílu mezi platformami iPhone či iPad a právě Android. Zatím prvně jmenované naleznete na zařízeních jediného výrobce, Android upravuje a dodává kdekdo (uvádí se počet zhruba 300 výrobců). Zatímco nahrávání aplikací do prvně jmenovaných jde přes jediný subjekt, aplikace pro Android podobnou „centrální autoritu“ nemají. Jistě, jeden dodavatele vs. několik dodavatelů rozhodně automaticky neznamená větší či menší bezpečnost, ale absence jasných pravidel a roztříštění zodpovědnosti je tou nejspolehlivější cestou k problémům.
Svědčí o tom i průzkum organizace Bit9, který tvrdí, že více než sto tisíc aplikací pro Android v obchodě Google Play (tedy zhruba 25 procent z celkového počtu) představuje bezpečnostní riziko pro uživatele mobilních zařízení a firemní sítě, k nimž se připojí. Podotýkáme, že aplikace nepředstavovaly přímé nebezpečí (např. instalací škodlivého kódu), ale že organizace Bit9 hodnotila jejich potenciální nebezpečnost: třeba to, jaká přístupová práva při instalaci vyžadovaly, jaká byla reputace vydavatele, jak často a jaký objem dat stahovaly z internetu apod. Díky tomu mělo plných 72 procent aplikací pro Android nejméně jedno nebezpečné nastavení.
Stejně tak dramaticky roste počet škodlivých kódů pro Android. Například v roce 2011 bylo škodlivými kódy celosvětově infikováno údajně až 10,8 miliónu zařízení. Což představuje meziroční nárůst úctyhodných 1880 procent! Nejčastějším způsobem, jakým se škodlivý kód do Androidu dostává, je na prvním místě jeho připojení k legitimní aplikaci, na druhém aktualizace korektního software na nekorektní (třeba skrze útok na jeho tvůrce) a na třetím místě přinucení uživatelů (podvodem, mystifikací...) k přímé instalaci škodlivého kódu.
Poněkud šalamounsky tak můžeme konstatovat, že Android může být stejně bezpečný jako nebezpečný systém – a že opravdu záleží jen na nás, do jaké roviny si ho postavíme. Takže – nic nového pod sluncem.
Stopy vedou do Číny
Americký deník The New York Times upozornil, že pět evropských ministerstev zahraničních věcí je infiltrováno sledovacími programy – a že data z nich proudí ve velkém stylu do Číny. Konkrétně jde o ministerstva České republiky, Portugalska, Bulharska, Lotyšska a Maďarska. To by ještě nebyla taková hrůza: k podobným incidentům zkrátka dochází a velice často se stává, že na ně musí upozornit třetí strana. Jenže útok v daném případě probíhal v letech 2010 až 13! Což už je hodně nepříjemné zjištění. České ministerstvo zahraničí informace (samozřejmě) nekomentovalo, čínská strana jakékoli podobné aktivity (samozřejmě) popřela. Deník The New York Times v této souvislosti jen upozornil, že pronikání do systémů bylo velmi pečlivě připravené a koordinované.
Kde je poptávka, objeví se (zpravidla) i nabídka
Sledování partnera/manželky/zaměstnance (nehodící se škrtněte) nebylo díky moderním technologiím tak snadné, jako dnes. Prakticky každý týden to hlásají titulky v médiích – a mají často pravdu. Třeba v chytrých telefonech jsou různé „stopy“ dokumentující minulou aktivitu. Nebo do nich lze snadno instalovat aplikace, které tyto stopy vytvoří a zaznamenají (třeba pohyb zařízení v průběhu dne s pomocí záznamu GPS souřadnic). Proč se ale pracně snažit nějaký sledovací systém instalovat do mobilního telefonu (nebo dokonce k němu získávat fyzický přístup), když je mnohem jednodušší si takovéto zařízení s elektronickým špiónem rovnou koupit? Firma mSpy nyní na internetu nabízí kvarteto chytrých telefonů (HTC One, Nexus 5, Samsung Galaxy S4 a iPhone 5s) s předinstalovaným monitorovacím softwarem. Ten umožňuje sledovat data, jako jsou hovory, e-maily, SMS, stisknuté klávesy, Viber, WhatsApp a Skype, nebo GPS souřadnice. Program mSpy vznikl původně jako systém rodičovské kontroly (možnost nastavení toho, co na počítači/mobilu dítě může nebo naopak nesmí), ale pro svoji jednoduchost a spolehlivost si získal popularitu i mezi malými firmami. Ty totiž často řeší úniky dat nebo to, jak zaměstnanci nakládají se svěřenými mobilními zařízením. Firma upozorňuje, že k tomu, aby bylo použití takto „vylepšeného“ přístroje legální, musí být uživatel na jeho existenci předem upozorněný. (Což není tak docela pravda, protože varování nelze nadřadit nad zákon, takže ani upozornění nikoho neopravňuje k nelegálním aktivitám.)
Tlačenice v jednom mobilu
Nejmenovaný německý úředník uvedl ve vyjádření pro časopis Focus, že mobilní telefon kancléřky Angely Merkelové (používala platformu Blackberry) neodposlouchávala jenom americká NSA (National Security Agency), ale také tajné služby Ruska, Číny, Severní Koreje a britská GCHQ.