Aktualizacje mobilnych systemów jeszcze nigdy nie były tak ważne
Sprzeczki i dyskusje na temat wyższości jednej mobilnej platformy nad drugą nie umilkną długo, tak samo jak nie umilkły jeszcze flame’y pomiędzy właścicielami Commodore i Atari. Jednym z wykorzystywanych argumentów jest możliwość aktualizacji systemu operacyjnego. Wygląda na to, że osoby utrzymujące, że to bardzo ważne, miały rację.
Osoby, które lubią angażować się w „wojny” pomiędzy Androidem, Symbianem, iOS-em i resztą systemów za każdym razem w dyskusji dochodzą do wniosku, że Android jest „be”, bo ciężko u niego z aktualizacjami. Faktycznie, nie licząc smartfonów Nexus, które stanowią znikomą część wszystkich urządzeń z Androidem, problem istnieje. Zgadzam się jednak z obrońcami systemu Google’a: to ma znaczenie tylko i wyłącznie dla nas, entuzjastów, lubiących nowe zabaweczki. Kowalski i Iksińska mają w nosie nowe systemy operacyjne. Spora część z nich nawet nie jest zainteresowana dodatkowymi aplikacjami. „To ma działać”. Zboczeńcy komputerowi, jak my, podnoszą larum, a Android podbija rynek w niesamowitym tempie. Bo konsumenci nie chcą wiedzieć co to Gingerbread czy Ice Cream Sandwich. To ma działać. I faktycznie, z aktualizacjami lub bez, działa. A problem niepublikowania aktualizacji przez producentów telefonów i / lub blokowania ich przez operatorów to zmartwienie stosunkowo małej ilości konsumentów. Obawiam się jednak, że już niedługo.
Smartfony podbijają rynek w niesamowitym tempie. W ten sposób czuję właśnie erę określaną pod tak wyśmiewanym przez was terminem „Post-PC”. Według badań opublikowanych przez Bernsteina, w 2016 roku nastąpi przełom, w którym większość zapytań do wyszukiwarki będzie pochodziło nie z komputerów, a urządzeń mobilnych. Za kilka lat urządzenia mobilne będą stanowić istotniejszy element webowego ekosystemu niż komputery. A te są pod ciągłym ostrzałem cyberprzestępców. Ci szczególnie upodobali sobie system Windows. Nie dlatego, że system Microsoftu jest kiepsko zabezpieczony. To mit, który już jest nieaktualny od długiego czasu. Windows jest po prostu niesamowicie popularny, ponad 90 procent komputerów użytkowych na świecie pracuje pod kontrolą systemu Microsoftu. W tym tkwi popularność złośliwego oprogramowania na ten system: jest on niesamowicie popularny i używany przez dziesiątki milionów użytkowników, którzy o bezpieczeństwie komputerowym nie mają zielonego pojęcia. Dlatego opłaca się pisać malware przede wszystkim pod ten system: prawdopodobieństwo wyłudzenia danych jest po prostu dużo większe.
Na rynku mobilnym rolę Windows przejmuje Android. Może i iPhone jest najchętniej wybieranym smartfonem, ale system Android jest dostępny na nieporównywalnie większej ilości telefonów, miażdżąc udziały rynkowe iOS-a. Biorąc pod uwagę powyższe i to, że wkrótce smartfony będą generować większy ruch w Internecie, niż komputery osobiste, lada moment cyberprzestępcy przestawią się z Windows na Androida. Już teraz firmy produkujące rozwiązania zabezpieczające próbują nas nastraszyć. Sam dałem się nabrać firmie Symantec, co zapewne pamiętacie: „plaga złośliwego oprogramowania” okazała się nie tak groźna, jak nas straszono. Faktem pozostaje jednak to, że Android staje się najbardziej atrakcyjnym celem dla cyberwłamywaczy oraz to, że na większości dostępnych z nim urządzeń jest problem z łataniem wykrytych w nim usterek.
Nie oznacza to, że Android jest gorzej zabezpieczony niż iOS, Windows Phone czy Symbian. To podobny mit jak ten z Windowsem. Wszystkie systemy są mniej lub bardziej dziurawe. Tyle że jak ktoś wykryje groźną lukę w zabezpieczeniach iPhone’a, to mogę być pewny, że iTunes za niedługi czas zaalarmuje mnie o problemie i powie mi, jak rozwiązać sprawę (czyli pokaże mi, że jest dostępna aktualizacja oprogramowania i powie mi, jak ją zainstalować). Posiadam jeden z najpopularniejszych smarfonów z Androidem, Samsung Galaxy S. Aktualizację do wersji Gingerbread dostałem… po premierze rynkowej Ice Cream Sandwich. Z punktu widzenia bezpieczeństwa, to niedopuszczalne.
Entuzjaści Androida mają na to gotową odpowiedź: przecież Androida mamy od lat, jak dotąd nie było większych wpadek z zabezpieczeniami, to przecież Linux, a aktualizacje to raczej zwiększony komfort korzystania z systemu i nowe funkcje. Zgoda, ale jak długo jeszcze? Kiedy bańka mydlana wreszcie pęknie?
Wygląda na to, że już w przyszłym tygodniu. Firma CrowdStrike, specjalizująca w się zabezpieczeniach, przynajmniej tak twierdzi. Co prawda, po wyżej wspomnianym wygłupie Symanteca (i zrobieniu mnie w balona) tym razem biorę tego typu rewelacje na dystans. Ale, po pierwsze, CrowdStrike nie chce mi niczego sprzedać, bym się już nie bał tego, czym straszy. A po drugie, już w przyszłym tygodniu, na konferencji prasowej ,pokaże na żywo jak włamać się do Androida i całkowicie przejąć nad nim kontrolę.
Szczegóły działania mechanizmu włamania, co oczywiste, zdradzone nie zostaną, by nikt nie mógł zacząć tego wykorzystywać na masową skalę. Pokazany zostanie sam atak. A to do tego wystarczy nakłonić użytkownika do kliknięcia w hiperłącze. Wystarczy wysłać wiadomość lub mail, podszywając się pod operatora lub inny zaufany kontakt, z łączem, które „musisz kliknąć” (pretekst dowolny). Jak twierdzi CrowdStrike, po kliknięciu, autor ataku może bez problemu podsłuchiwać połączenia, sprawdzać położenie geograficzne telefonu, i mieć praktycznie nieograniczoną nad nim zdalną kontrolę. To bardzo, bardzo groźna usterka w mechanizmie WebKit, jeśli prawdziwa.
Raz jeszcze, nie oznacza to, że Android jest bardziej dziurawy od konkurencji. Przypominam rok 2009, kiedy to Charlie Miller i Collin Mulliner wykombinowali, jak włamać się do iPhone’a za pomocą wiadomości tekstowej. Nie istnieje system bez błędów, napisanie takiego jest już chyba, przy tak dużej złożoności oprogramowania, praktycznie niemożliwe. Ale Apple opublikował łatkę na usterkę w parę tygodni po informowaniu o problemie. A Google? Najśmieszniejsze w tym wszystkim jest to, że usterkę już załatał. Atak działa wyłącznie na smartfonach z wersjami Froyo i Gingerbread (na dodatek exploit jest nieco inny dla każdej z tych edycji). Urządzenia z Honeycombem i Ice Cream Sandwich są bezpieczne. Problem w tym, że, według statystyk Google’a z 1 lutego, 28 procent urządzeń z Androidem wciąż ma Froyo, a 59 procent Gingerbreada. Szanse, że producenci tych urządzeń opublikują dla nich aktualizacje, operatorzy ją zatwierdzą, a użytkownicy zostaną o nich powiadomieni (jak to robi iTunes, Zune i kilka odmian Androida) są bliskie zeru.
Nawet jeśli CrowdStrike „ściemnia”, to tego typu luki zaczną być wykrywane i wykorzystywane. Android to smartfonowy Windows. Pożera rynek, rozpychając się łokciami, dostępny jest na setkach różnych modeli urządzeń. To idealny cel. Tyle że Windows, przy całej swojej ułomności, ma mechanizm Windows Update i domyślnie włączony mechanizm automatycznych aktualizacji. Google będzie musiał w końcu zmierzyć się z problemem. Nie można wiecznie umywać rąk, kierując (nie bez powodów) gniew na producentów smartfonów i operatorów. Apple z operatorami sobie jakoś poradził, a Microsoft z producentami telefonów. Nie można wiecznie zwalać winy na HTC, Samsunga, Orange, T-Mobile i innych. Bo faktycznie, to przede wszystkim ich wina. Ale skoro to „oporna materia”, to może warto wyjść z inicjatywą dla dobra i bezpieczeństwa użytkowników Androida, zamiast koncentrować się na dogodnych warunkach dla partnerów OEM i maksymalizacji zysków?
Maciek Gajewski jest dziennikarzem, współprowadzi dział aktualności na Chip.pl, gdzie również prowadzi swojego autorskiego bloga.