Aktivní a pasivní ochrana aplikací na Android Marketu

Poslední dobou jsem se trochu opřel do bezpečnosti mobilních operačních systému (počínaje Androidem) a tak mě v této souvislosti také samozřejmě zajímá, jak jsou ošéfované zdroje aplikací pro běžného uživatele – Android Market (jako hlavní zdroj), případně jiné zdroje. Otázku ochrany nyní zkusím položit do roviny aktivity a pasivity. Co vlastně tímhle dělením myslím?

Pasivní ochrana

Za pasivní ochranu považuji:

  • běžné uživatelské chování (bez odemykání nebo rootování smartphonu)
  • dodržování preventivních pravidel bezpečnosti jako součásti rozhodování o instalaci nové aplikace

Běžným užíváním jsem se již na hepteridě zabýval, a proto se zaměřím na preventivní pravidla. Co bych měl jako uživatel sledovat, pokud chci mít pocit, že pro svou pasivní ochranu dělám maximum?

  1. Uvědomit si, že existují hrozby – potenciálně mohou aplikace obsahovat malware, který při kombinaci s „vhodným“ telefonem nadělají spoustu paseky
  2. Sledovat rating aplikace na Android Marketu – a to nejen z hlediska procent, ale i počtu hodnotitelů (dva hodnotitelé s max. hodnotou versus 1000 s průměrnou např.)
  3. Sledovat komentáře k aplikacím – kde lze nalézt zkušenosti s používáním (opět jeden pozitivní komentář versus 20 smíšených např.)
  4. Získat informace o tvůrci aplikace – např. z jeho webových stránek, které mohou vypovídat o způsobu práce, podpoře, buglistech apod.
  5. Kontrolovat oprávnění, které aplikace vyžaduje – tedy jakou kontrolu nad vaším smartphonem aplikace dokáže mít
  6. Sledovat možnosti aktualizace aplikace – protože nové updaty mohou přinést změny v oprávněních a další „featury“, které nemusí být košer
  7. Zvážit instalaci aplikace z neoficiálních zdrojů – tedy bokem Android Marketu, tedy věnovat pozornost nastavení smartphonu
  8. Uvědomit si, jakým způsobem lze vyvíjet a podsouvat do marketů – což napoví o přístupu společností ke správě (a bezpečnosti) obsahu
  9. Ukládat do smartphonu co nejméně citlivých dat – protože existují trojany, phishing, ale i rootkit, které mohou vaše data kompromitovat
  10. Vybírat pečlivě typ smartphonu a operátora – nezaškodí se před koupí zeptat, zda je v telefonu instalována nějaká „servisní“ aplikace (narážka na Carrier IQ a podobné)
Aktivní ochrana
Za aktivní ochranu považuji:
  • pravidelné kontroly obsahu Googlem na přítomnost malware
  • vědomé zabezpečování aplikací tvůrcem (chápu že toto je hodně abstraktní požadavek)
Z hlediska aktivní ochrany, jak jsem měl možnost doposud zjisit, se děje následující:
  1. Vlastnost Android Marketu „copy protect“ – ta je nabízena tvůrcům a umožňuje jejich aplikacím nespuštění na rootlém smartphonu (lze pouze na původní verzi dodávané při koupi zařízení)
  2. Povolit spuštění na základě IMEI – kdy tvůrce osloví uživatele s tím, aby mu zaslali svá IMEI (což může být naopak bezpečnostně kontraproduktivní, pokud tvůrce neznám a může mé IMEI zneužít), která tvůrce použije jako identifikátor povolení spuštění
  3. Proces autorizace pro upload vlastního obsahu na Android Market – který znamená mj. zaplacení částky $25.00 za registraci, což je jistý blok (ale spoléhat se na to nelze, zejména v době, kdy jsou hacky záležitostí skupin s jasnými business plány)

Zdroje

http://www.brighthub.com/mobile/google-android/articles/85673.aspx

http://www.brighthub.com/mobile/google-android/articles/74976.aspx

http://www.brighthub.com/mobile/google-android/articles/63772.aspx

http://www.google.com/support/forum/p/Android%20Market/thread?tid=49626faca9deb2c8&hl=en

http://stackoverflow.com/questions/2497452/how-does-android-market-secure-my-application-against-distribution

http://www.crn.com/slide-shows/security/232200371/the-12-riskiest-smartphones.htm;jsessionid=r5H0x1X+ZGXiYqEKpDjDAQ**.ecappj01