Tech

Producenci telefonów psują Androida

Specjaliści ds. bezpieczeństwa regularnie krytykują Google’a za najróżniejsze błędy w zabezpieczeniach systemu Android – i słusznie, bo koncern ma nieco do nadrobienia w tej dziedzinie. Ale okazuje się, że swoje za uszami mają również producenci telefonów, którym nad wyraz często zdarza się wziąć od Google „czystego” Androida i podczas przystosowywania go do specyfiki swoich urządzeń dołożyć do systemu kilka zupełnie nowych, autorskich dziur w zabezpieczeniach.

Dowiedli tego naukowcy z North Carolina State University – czterej pracownicy uniwersytetu wzięli pod lupę osiem popularnych w USA telefonów z Androidem. Analizowali przede wszystkim to, co mogą z danymi użytkownika oraz podstawowymi funkcjami telefonów (nawiązywanie połączeń, wysyłanie wiadomości, przechowywanie danych użytkownika)robić zainstalowane w systemie aplikacje. O wynikach ich badań pisze serwis ArsTechnica.com.

Wśród zbadanych urządzeń były dwa referencyjne urządzenia z „gołym”, w żaden sposób nie modyfikowanym Androidem – Google Nexus One oraz Nexus S – a także sześć urządzeń, w przypadku których producenci telefonów dokonali mniej lub bardziej złożonych ingerencji w system operacyjny: HTC Legend, HTC EVO 4G, HTC Wildfire S, Motorola Droid i Droid X oraz Samsung Epic 4G.

Specjaliści skupili się przede wszystkim na znajdowaniu „wycieków” – tzn. błędów, które mogą sprawić, że jakaś preinstalowana w telefonie aplikacja udostępni dane użytkownika lub jakieś funkcje telefonu innemu, potencjalnie złośliwemu, programowi. Chodzi o sytuację, w której w telefonie pojawia się jakiś złośliwy program (w przypadku Androida to nie jest to totalnie nierealny scenariusz), który następnie bez zgody i wiedzy użytkownika „wyciąga” z innych aplikacji dane użytkownika lub zmusza je do wykonania jakichś operacji (np. wysyłania wysoko płatnych SMS-ów).

Wyniki analiz są co najmniej niepokojące – okazuje się, że jedynymi względnie bezpiecznymi telefonami były te, które firmował Google, czyli Nexusy. W każdym z pozostałych smartfonów znaleziono jakąś dołożoną przez producenta urządzenia aplikację, w której znajdował się co najmniej jeden błąd pozwalający na przeprowadzenie opisanego powyżej ataku. W przypadku rekordzisty – HTC Evo 4G – „wycieków” znaleziono aż 8.

Doniesienia te są o tyle niepokojące, że Android i bez „pomocy” producentów telefonów ma dość problemów z bezpieczeństwem, które powinny zostać szybko rozwiązane. Maksymalna otwartość Android Marketu sprawia, że wprowadzenie do niego złośliwego oprogramowania nie jest szczególnym problemem. Do tej pory jedną z podstawowych porad standardowo oferowanych przez speców ds. bezpieczeństwa użytkownikom Androida jest staranne selekcjonowanie aplikacji pobieranych z Android Marketu. Niestety, okazuje się, że nawet ta metoda nie zawsze może być skuteczna – skoro podatne na atak aplikacje mogą znajdować się w nowiutkim telefonie, właśnie wyciągniętym z zafoliowanego pudełka.

W ogóle wydaje się, że Android może podążyć ścieżką, którą przed nim przeszedł Windows – system robi się bardzo popularny, więc siłą rzeczy interesują się nim przestępcy. I jeśli nawet Google w końcu upora się z problemami z bezpieczeństwem OS-u i jego ekosystemu (Android Market), to może okazać się, że użytkownicy Androida i tak będą atakowani – przez luki w aplikacjach innych producentów. Niewesoły to scenariusz… ale wygląda na to, że całkiem realny.

Więcej informacji znaleźć można w raporcie opublikowanym przez North Carolina State University.

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst