Ивайло Тинчев,
управител на “Бизнес Софтуер Дистрибутор” ЕООД
През 2005 г. Google закупува базираната на Linux операционната система Andrоid от Android Inc. с цел да я подобрява и развива, като се стреми да я наложи като масово използвана върху мобилните устройства. Няколко години по-късно може да се каже, че както с много други начинания, така и с това, Google имат успех. Докато пред 2009 г. Andrоid има дял от само 2.8% от световния пазар на смартфони, то през 2010 г. е вече 33%, през 2011 г. – 52.5%, а до третото тримесечие на 2012 г. – над 75%. Разширяването на дела на Android като масова операционна система на пазара за мобилни устройства и все по-широкото ? използване за бизнес цели, онлайн пазаруване, електронно банкиране и други важни ежедневни дейности, кара изследователите на компютърната сигурност да разглеждат сериозно възможностите за пробиви в сигурността на операционната система, застрашаване на потребителските данни и вариантите за предпазване от това.
Приложения от Google Play
Магазинът на Google за приложения Google Play е една от основните причини за бързото нарастване на делът на Andrоid на мобилния пазар. Отвореният код на операционната система заедно с безплатно предоставените SDK/API за разработване на приложения от софтуерни компании и отделни програмисти доведоха до огромен бум на количеството приложения. За съжаление, не толкова високо е качеството на повечето от тях и възможността за пълен контрол на достъпа им до данните на потребителите.
Няколко неща са важни за наблюдение при инсталиране на приложения от Google Play.
1) Контролирайте исканите права от приложенията
В началото на самото инсталиране не малко приложени изискват достъп до Вашите данни и ресурси на устройството, които може да не са им нужни. Google има собствена автоматизирана система за преглед на правата (Bouncer), но винаги е добре да имате едно на ум, че някой може да я заобиколи. Например в случай, че приложение за рисуване изисква разрешаване на права за изпращане и получаване на SMS, то е логично да решите, че това не е нормално и да откажете инсталирането, в противен случай рискувате например в даден момент приложението да започне да изпраща SMS-съобщения от Ваше име до високотарифни номера (при това с Ваше съгласие) и така да се наложи да заплатите не малка сума пари на мобилния си оператор. Друго приложение може да използва данни за Вашата локация, въпреки че тя не му е нужна за да функционира, но ако авторът на софтуера е свързан с кибер-престъпна група, то той ще може да получава информация кога сте в офиса си, у дома или на почивка, и адресите на които се намирате в момента. Четете внимателно какви права давате на приложенията, които се инсталират в Android устройствата ви, за да не пострадате!
2) Не давайте ненужни данни на приложенията
Когато инсталирате дадено приложение, обикновено разработчикът получава данни от вашия Google профил. Така всички публични данни в профила ви като телефонни номера, адреси на живеене и т.н. са леснодостъпни. Допълнително в настоящия етап на развитието си Andrоid дава неограничен достъп на приложенията до снимките на потребителя, което означава, че при лошо стечение на обстоятелствата Ваши снимки могат да се появят някъде в Интернет, където не им е мястото. Google работят по този въпрос, но все още не са излезли с подходящо окончателно решение поради многообразното използване на тези ресурси.
3) Злонамерени приложения
Докато в предните точки стана дума за злонамерени действия поради ваши грешки и разрешаване на права, то трябва да знаете, че има (макар и не много) случаи на откриване на злонамерени приложения използващи уязвимости в Andrоid, при които дори да не сте разрешили достъп до нищо все пак имат достъп до определени данни. От такъв тип е например уязвимост докладвана през април 2012 г., при която се открива, че всяко инсталирано приложение може да има достъп до всички файлове съхранени на SD картата, (включително снимки, документи, архиви и др.) и да извършва с тях действия като копиране, изтриване и др. Всяко инсталирано приложение (дори без права) също така може да получи частична информация за системните характеристики, списък с инсталирания софтуер, информация за производителя на устройството и SIM-картата. Такова приложение също може да стартира браузер и чрез него да експортира всички събрани данни. Особено опасно е така нареченото root-ване на Android устройства, при което злонамерените приложения могат да имат неограничен достъп, включително до системните файлове – затова то не бива да се прави.
Външни приложения
Освен чрез Google Play някои потребители инсталират приложения закупени и изтеглени от други източници, при които сигурността не е на нивото на официалния магазин. Разбира се, можете да инсталирате приложения от Amazon.com или други известни сигурни сайтове, но ще е странно да се съгласите да изтеглите и инсталирате „изгодно“ приложение от сайт с непознато име и да очаквате, че няма да имате проблеми – по-вероятно е да имате. Освен, че при пазаруване в официални и стабилно подсигурени магазини (като Google Play, Amazon, и др.) имате високо ниво на защитеност, данните за кредитната ви карта няма да бъдат предавани пряко на производителя, а само уведомяване за постъпило плащане. При неизвестни доставчици на приложения и неизвестни системи за плащания, закупуването на приложения и данни за тях би било голям риск. Препоръчително е пазаруване на приложения с кредитни карти само от доказали се онлайн магазини.
Търговия с потребителски данни
Макар и незаконно и непозволено от договорните документи на Google, търговията с потребителски данни може да бъде сериозен проблем за повечето потребители. Тъй като в процеса на инсталиране Вие подавате данните си към трета страна, то всичко което можете да се надявате е, че доставчикът на приложението няма да злоупотреби с данните Ви. Но как можете да бъдете сигурни в това? Не можете. Ако доставчикът на софтуера има имейл адреса Ви или други данни взети от устройството, то тези данни може да попаднат в непознати за Вас физически или юридически лица – независимо дали това е станало незаконно (чрез предоставяне и продажба на данните) или чрез изтичането на данните при хакерска атака на сървърите на производителя. Така или иначе сигурността Ви може да бъде застрашена. Това важи с особена сила, ако използвате например еднакви пароли за различните сайтове и услуги, включително онлайн сайтове за игри, пазаруване, банкиране и др. Престъпниците могат да се възползват от получените потребителски имена, имейли и пароли и в следствие на това да имате сериозни главоболия.
В заключение
Сигурността на потребителските данни в Android не е напълно защитена. В Andrоid все още се срещат (и вероятно ще се срещат и в бъдеще) уязвимости, които не могат веднага да бъдат открити и премахнати. Създаваният от киберпрестъпници злонамерен софтуер допълнително заплашва данните на потребителите и създава възможност за неправомерното им използване. Потребителите са основното звено в защитата на мобилните им устройства като инсталират приложения само от проверени източници, където данните им са защитени доколкото позволяват договорните отношения между Google и съответните производители.
Използването на антивирусен софтуер за защита на Android устройствата не може да даде 100% сигурност на данните, но е силно препоръчително, тъй като би се справило с огромен брой неочаквани и нежелани последствия от инсталиране на злонамерени приложения. Такъв безплатен софтуер (или пък 30-дневна безплатна версия за изпробване) можете да инсталирате от:
http://www.avgmobilation.com/android
Автор: инж. Ивайло Тинчев
За автора: Инж. Ивайло Тинчев е управител и собственик на „Бизнес Софтуер Дистрибутор” ЕООД (http://www.bsd.bg/), оторизиран разпространител за България на някои от най-известните и водещи световни компании разработващи софтуер за управление и сигурност на сървъри и мрежи в малки, средни и големи организации, някои от които AVG Technologies, GFI Software, Acronis, Diskeeper, StarWind Software и Entensys. През 1997 г. инж. Тинчев завършва Техническия Университет в гр. Габрово със специалност „Компютърни Мрежи и Системи”“. Той е говорител на организирани от компанията му и от външни организации семинари и конференции. Участник е във форуми и дискусии за информационна сигурност и защита на информацията.