Producenci telefonów psują Androida
Specjaliści ds. bezpieczeństwa regularnie krytykują Google'a za najróżniejsze błędy w zabezpieczeniach systemu Android - i słusznie, bo koncern ma nieco do nadrobienia w tej dziedzinie. Ale okazuje się, że swoje za uszami mają również producenci telefonów, którym nad wyraz często zdarza się wziąć od Google "czystego" Androida i podczas przystosowywania go do specyfiki swoich urządzeń dołożyć do systemu kilka zupełnie nowych, autorskich dziur w zabezpieczeniach.
Dowiedli tego naukowcy z North Carolina State University - czterej pracownicy uniwersytetu wzięli pod lupę osiem popularnych w USA telefonów z Androidem. Analizowali przede wszystkim to, co mogą z danymi użytkownika oraz podstawowymi funkcjami telefonów (nawiązywanie połączeń, wysyłanie wiadomości, przechowywanie danych użytkownika)robić zainstalowane w systemie aplikacje. O wynikach ich badań pisze serwis ArsTechnica.com.
Wśród zbadanych urządzeń były dwa referencyjne urządzenia z "gołym", w żaden sposób nie modyfikowanym Androidem - Google Nexus One oraz Nexus S - a także sześć urządzeń, w przypadku których producenci telefonów dokonali mniej lub bardziej złożonych ingerencji w system operacyjny: HTC Legend, HTC EVO 4G, HTC Wildfire S, Motorola Droid i Droid X oraz Samsung Epic 4G.
Specjaliści skupili się przede wszystkim na znajdowaniu "wycieków" - tzn. błędów, które mogą sprawić, że jakaś preinstalowana w telefonie aplikacja udostępni dane użytkownika lub jakieś funkcje telefonu innemu, potencjalnie złośliwemu, programowi. Chodzi o sytuację, w której w telefonie pojawia się jakiś złośliwy program (w przypadku Androida to nie jest to totalnie nierealny scenariusz), który następnie bez zgody i wiedzy użytkownika "wyciąga" z innych aplikacji dane użytkownika lub zmusza je do wykonania jakichś operacji (np. wysyłania wysoko płatnych SMS-ów).
Wyniki analiz są co najmniej niepokojące - okazuje się, że jedynymi względnie bezpiecznymi telefonami były te, które firmował Google, czyli Nexusy. W każdym z pozostałych smartfonów znaleziono jakąś dołożoną przez producenta urządzenia aplikację, w której znajdował się co najmniej jeden błąd pozwalający na przeprowadzenie opisanego powyżej ataku. W przypadku rekordzisty - HTC Evo 4G - "wycieków" znaleziono aż 8.
Doniesienia te są o tyle niepokojące, że Android i bez "pomocy" producentów telefonów ma dość problemów z bezpieczeństwem, które powinny zostać szybko rozwiązane. Maksymalna otwartość Android Marketu sprawia, że wprowadzenie do niego złośliwego oprogramowania nie jest szczególnym problemem. Do tej pory jedną z podstawowych porad standardowo oferowanych przez speców ds. bezpieczeństwa użytkownikom Androida jest staranne selekcjonowanie aplikacji pobieranych z Android Marketu. Niestety, okazuje się, że nawet ta metoda nie zawsze może być skuteczna - skoro podatne na atak aplikacje mogą znajdować się w nowiutkim telefonie, właśnie wyciągniętym z zafoliowanego pudełka.
W ogóle wydaje się, że Android może podążyć ścieżką, którą przed nim przeszedł Windows - system robi się bardzo popularny, więc siłą rzeczy interesują się nim przestępcy. I jeśli nawet Google w końcu upora się z problemami z bezpieczeństwem OS-u i jego ekosystemu (Android Market), to może okazać się, że użytkownicy Androida i tak będą atakowani - przez luki w aplikacjach innych producentów. Niewesoły to scenariusz… ale wygląda na to, że całkiem realny.
Więcej informacji znaleźć można w raporcie opublikowanym przez North Carolina State University.
