Сигурността на Andrоid устройствата зависи предимно от навиците на потребителите

Ивайло Тинчев, управител на "Бизнес Софтуер Дистрибутор" ЕООД

Ивайло Тинчев,
управител на “Бизнес Софтуер Дистрибутор” ЕООД

През 2005 г. Google закупува базираната на Linux операционната система Andrоid от Android Inc. с цел да я подобрява и развива, като се стреми да я наложи като масово използвана върху мобилните устройства. Няколко години по-късно може да се каже, че както с много други начинания, така и с това, Google имат успех. Докато пред 2009 г. Andrоid има дял от само 2.8% от световния пазар на смартфони, то през 2010 г. е вече 33%, през 2011 г. – 52.5%, а до третото тримесечие на 2012 г. – над 75%. Разширяването на дела на Android като масова операционна система на пазара за мобилни устройства и все по-широкото ? използване за бизнес цели, онлайн пазаруване, електронно банкиране и други важни ежедневни дейности, кара изследователите на компютърната сигурност да разглеждат сериозно възможностите за пробиви в сигурността на операционната система, застрашаване на потребителските данни и вариантите за предпазване от това.

Приложения от Google Play

Магазинът на Google за приложения Google Play е една от основните причини за бързото нарастване на делът на Andrоid на мобилния пазар. Отвореният код на операционната система заедно с безплатно предоставените SDK/API за разработване на приложения от софтуерни компании и отделни програмисти доведоха до огромен бум на количеството приложения. За съжаление, не толкова високо е качеството на повечето от тях и възможността за пълен контрол на достъпа им до данните на потребителите.

Няколко неща са важни за наблюдение при инсталиране на приложения от Google Play.

1) Контролирайте исканите права от приложенията

В началото на самото инсталиране не малко приложени изискват достъп до Вашите данни и ресурси на устройството, които може да не са им нужни. Google има собствена автоматизирана система за преглед на правата (Bouncer), но винаги е добре да имате едно на ум, че някой може да я заобиколи. Например в случай, че приложение за рисуване изисква разрешаване на права за изпращане и получаване на SMS, то е логично да решите, че това не е нормално и да откажете инсталирането, в противен случай рискувате например в даден момент приложението да започне да изпраща SMS-съобщения от Ваше име до високотарифни номера (при това с Ваше съгласие) и така да се наложи да заплатите не малка сума пари на мобилния си оператор. Друго приложение може да използва данни за Вашата локация, въпреки че тя не му е нужна за да функционира, но ако авторът на софтуера е свързан с кибер-престъпна група, то той ще може да получава информация кога сте в офиса си, у дома или на почивка, и адресите на които се намирате в момента. Четете внимателно какви права давате на приложенията, които се инсталират в Android устройствата ви, за да не пострадате!

2) Не давайте ненужни данни на приложенията

Когато инсталирате дадено приложение, обикновено разработчикът получава данни от вашия Google профил. Така всички публични данни в профила ви като телефонни номера, адреси на живеене и т.н. са леснодостъпни. Допълнително в настоящия етап на развитието си Andrоid дава неограничен достъп на приложенията до снимките на потребителя, което означава, че при лошо стечение на обстоятелствата Ваши снимки могат да се появят някъде в Интернет, където не им е мястото. Google работят по този въпрос, но все още не са излезли с подходящо окончателно решение поради многообразното използване на тези ресурси.

3) Злонамерени приложения

Докато в предните точки стана дума за злонамерени действия поради ваши грешки и разрешаване на права, то трябва да знаете, че има (макар и не много) случаи на откриване на злонамерени приложения използващи уязвимости в Andrоid, при които дори да не сте разрешили достъп до нищо все пак имат достъп до определени данни. От такъв тип е например уязвимост докладвана през април 2012 г., при която се открива, че всяко инсталирано приложение може да има достъп до всички файлове съхранени на SD картата, (включително снимки, документи, архиви и др.) и да извършва с тях действия като копиране, изтриване и др. Всяко инсталирано приложение (дори без права) също така може да получи частична информация за системните характеристики, списък с инсталирания софтуер, информация за производителя на устройството и SIM-картата. Такова приложение също може да стартира браузер и чрез него да експортира всички събрани данни. Особено опасно е така нареченото root-ване на Android устройства, при което злонамерените приложения могат да имат неограничен достъп, включително до системните файлове – затова то не бива да се прави.

Външни приложения

Освен чрез Google Play някои потребители инсталират приложения закупени и изтеглени от други източници, при които сигурността не е на нивото на официалния магазин. Разбира се, можете да инсталирате приложения от Amazon.com или други известни сигурни сайтове, но ще е странно да се съгласите да изтеглите и инсталирате „изгодно“ приложение от сайт с непознато име и да очаквате, че няма да имате проблеми – по-вероятно е да имате. Освен, че при пазаруване в официални и стабилно подсигурени магазини (като Google Play, Amazon, и др.) имате високо ниво на защитеност, данните за кредитната ви карта няма да бъдат предавани пряко на производителя, а само уведомяване за постъпило плащане. При неизвестни доставчици на приложения и неизвестни системи за плащания, закупуването на приложения и данни за тях би било голям риск. Препоръчително е пазаруване на приложения с кредитни карти само от доказали се онлайн магазини.

Търговия с потребителски данни

Макар и незаконно и непозволено от договорните документи на Google, търговията с потребителски данни може да бъде сериозен проблем за повечето потребители. Тъй като в процеса на инсталиране Вие подавате данните си към трета страна, то всичко което можете да се надявате е, че доставчикът на приложението няма да злоупотреби с данните Ви. Но как можете да бъдете сигурни в това? Не можете. Ако доставчикът на софтуера има имейл адреса Ви или други данни взети от устройството, то тези данни може да попаднат в непознати за Вас физически или юридически лица – независимо дали това е станало незаконно (чрез предоставяне и продажба на данните) или чрез изтичането на данните при хакерска атака на сървърите на производителя. Така или иначе сигурността Ви може да бъде застрашена. Това важи с особена сила, ако използвате например еднакви пароли за различните сайтове и услуги, включително онлайн сайтове за игри, пазаруване, банкиране и др. Престъпниците могат да се възползват от получените потребителски имена, имейли и пароли и в следствие на това да имате сериозни главоболия.

В заключение

Сигурността на потребителските данни в Android не е напълно защитена. В Andrоid все още се срещат (и вероятно ще се срещат и в бъдеще) уязвимости, които не могат веднага да бъдат открити и премахнати. Създаваният от киберпрестъпници злонамерен софтуер допълнително заплашва данните на потребителите и създава възможност за неправомерното им използване. Потребителите са основното звено в защитата на мобилните им устройства като инсталират приложения само от проверени източници, където данните им са защитени доколкото позволяват договорните отношения между Google и съответните производители.

Използването на антивирусен софтуер за защита на Android устройствата не може да даде 100% сигурност на данните, но е силно препоръчително, тъй като би се справило с огромен брой неочаквани и нежелани последствия от инсталиране на злонамерени приложения. Такъв безплатен софтуер (или пък 30-дневна безплатна версия за изпробване) можете да инсталирате от:
http://www.avgmobilation.com/android

Автор: инж. Ивайло Тинчев

За автора: Инж. Ивайло Тинчев е управител и собственик на „Бизнес Софтуер Дистрибутор ЕООД (http://www.bsd.bg/), оторизиран разпространител за България на някои от най-известните и водещи световни компании разработващи софтуер за управление и сигурност на сървъри и мрежи в малки, средни и големи организации, някои от които AVG Technologies, GFI Software, Acronis, Diskeeper, StarWind Software и Entensys. През 1997 г. инж. Тинчев завършва Техническия Университет в гр. Габрово със специалност „Компютърни Мрежи и Системи”“. Той е говорител на организирани от компанията му и от външни организации семинари и конференции. Участник е във форуми и дискусии за информационна сигурност и защита на информацията.

Коментар