Jak moc bezpečný je bezpečný mobil 1 – Google Android

Jak jsme na tom s obecnou bezpečností mobilních zařízení? Tato otázka zaznívá stále častěji spolu s tím, jak roste trh s těmito předměty. Zájem nezůstává jen u Androidů i když se o nich ve světě, zdá se, píše nejvíce.

Anketa, která na hepteridě probíhá od 21. Listopadu 2011 ukazuje, že nejbezpečněji se cítí uživatelé právě s Androidem a BlackBerry (každý dostal shodně 29,41% hlasů), v závěsu je Symbian (17,65%), iOS (11.76%), Windows Mobile a jiné (5,88%), MeeGo nehodnotil nikdo. Všechny údaje jsou k 5.12.2011 (14:00 CET).

Podívejme se, jak jsou jednotlivé systémy hodnoceny globálně z hlediska bezpečnosti a rizikovosti.

Google Android

O bezpečnosti Androidu jsem již na hepteridě psal několikrát, včetně způsobů, jak hacknout (odemknout a rootnout) konkrétní zařízení, jmenovitě Google Nexus S. Věnoval jsem se také produktům, které se snaží zneužívání chytrých krabiček předejít, zejména snahou o antimalware produkty a možnostmi vzdálené správy zařízení. No a do osvětové firemní prezentace jsem ještě přidal informaci o kejklích, které dělají trojany typu DroidDream.

Obecně lze říci, že nebýt udělátek, které umí z Androidího ekosystému (v základu a by-design bezpečného Linuxového systému) loutku, jednalo by se o geniální počin. Smutným faktem je, že tato udělátka již mnohdy obsahují Android smartphony již přímo od výrobce/operátora. Zní to zvláštně, ale je to tak. Neslavný primát drží v tomto ohledu Samsung Epic 4G (s předinstalovaným Androidem verze 2.1-update1), který umožňuje by-default disponovat osmi různými oprávněními, které jsou obvykle pro bezpečný uživatelský provoz nepovolená. Samsung (tentokrát přímo pod značkou Google) naproti tomu ve stejné soutěži vítězí se svými modely Nexus One a Nexus S.

U samotných výrobců a operátorů ještě chvilku zůstanu. Trevor Eckhart. To je poslední dobou klíčová postava v aféře se software společnosti Carrier IQ. Firma zřejmě na základě (mně prozatím neznámých) smluv instalovala svůj rootkit. Proč rootkit? Protože jej nelze odstranit a s obtížemi vypnout. Tento rootkit zaznamenává aktivity uživatelů a svoje kroky (dle mého názoru) zvláštním způsobem zdůvodňuje – „měříme a sumarizujeme výkonnost zařízení, abychom podpořili doručování lepších služeb operátorem“… cool. Dle informací samotné společnosti „používá“ její produkt více než 140 milionů mobilních zařízení. Otázka Carrier IQ je navíc multiplatformí, vrátím se k ní tedy zcela jistě při popisu dalších operačních systémů mobilních zařízení. Zajímavá je skutečnost (ještě s odkazem na vysvětlení společnosti Carrier IQ), že tato je držitelem patentu s názvem „Data collection associated with components and services of a wireless communication network“ – překlad asi není nutný a název vypovídá za vše.

Carrier IQ v akci

Abych se ale vrátil zpět na nosné téma. Rukou uživatelovou se tedy z bezpečného a příjemného operačního systému může stát nebezpečný nástroj, který je otevřen světu a pokud je používán jako firemní (tedy operuje s firemními informacemi, vzdálenými přístupy apod.), jedná se o vážný zásah do bezpečnostní politiky. V kombinaci s očekávaným nárůstem útoků prostřednictvím webového prohlížeče se riziko ještě dále zvyšuje.

Kromě již výše zmíněného trojanu DroidDream je dle laboratoře Kaspersky Lab na světě další trojan, který zvládne odesílat SMS nebo provádět hovory na drahá čísla v Evropě a Kanadě.

Jaká je nejlepší prevence? V souvislosti s již uvedenými skutečnostmi je nutný citlivý výběr zařízení (viz bezpečnostní díry v oprávnění Androidu přímo od výrobce/operátora). Stejně tak není dobré telefon odblokovat nebo „rootnout“, stahovat aplikace z více (než jiné zdroje) bezpečného Android Marketu (bez záruky čistoty ovšem). Neuškodí nejspíš ani poohlédnout se po nějakém balíku bezpečnostního software, který se postará jak o známé hrozby typu trojan, tak o vzdálenou správu telefonu, pokud je odcizen, ztracen nebo jinak kompromitován (blokací, určením jeho polohy, vymazáním obsahu apod.). A pokud telefon s Androidem používáte ve firmě, zeptejte se svého ajťáka, jestli mobilní bezpečnost ve firmě řešíte. A pokud ne, inspirujte šéfy.