Една платформа, много проблеми

[dedil]

Една платформа, много проблеми

Мартин Дешев

Производителите на смартфони създават повечето пробойни в сигурността на Android

Android е най-популярната мобилна операционна система в света поради много причини. По последни данни на IDC тя държи 81.3% от пазара на смартфони в света. За да стане безапелационен лидер, тя първо трябваше да спечели вниманието на производителите на устройства. Един от начините, по които успя да го направи, бе като им даде голяма свобода за въвеждане на промени в платформата според собствените им предпочитания. Това обаче доведе и до немалко проблеми.

Google позволява на производителите на смартфони да променят и персонализират Android по много начини. Някои от компаниите, например Samsung, се възползват от това максимално и добавят множество свои услуги към зеленото роботче. Amazon също използва платформата за основа на своите Kindle устройства, но я модифицира толкова много, че дори няма право да я нарече Android. Производителите се стараят да извлекат максималното от тази свобода, за да се отличат един от друг и да се опитват да предоставят на потребителите всичко, каквото според тях е необходимо.

Престараване и недоглеждане

В желанието си да създадат привлекателни по вид и функционалност софтуерни платформи производителите на смартфони създават и множество проблеми в Android. Компаниите се съсредоточават толкова много върху възможностите на софтуера, че забравят да отделят вниманиe и за неговата сигурност. Група учени от катедрата по компютърни науки в Университета на щата Северна Каролина са провели обширно проучване в тази насока, резултатите от което публикуваха наскоро. Според тях средно над 65% от софтуерните уязвимости в мобилните телефони всъщност са резултат от промените, които техните производители са направили в платформата на Google.

Проучването е включвало анализ на софтуера на 10 Android смартофна. Пет от тях са използвали последното четвърто поколение на платформата (Jelly Bean), други три са разчитали на второто (Gingerbread), което все още има около 28% дял и е второ по популярност по собствените статистики на Google. Последните два са били с инсталирана версия от третото поколение Honeycomb. Производителите на устройствата са Samsung, HTC, LG и Sony. Два от телефоните са били Nexus S и Nexus 4. Те са произведени съответно от Samsung и LG, но са със стандартен Android без никакви модификации от страна на компаниите.

Специалистите след това са разделили приложенията на три категории. В първата са тези, които са разработени от Google. Във втората са създадените от производителите, а в третата - от други програмисти. Следващата стъпка е включвала щателен преглед на разрешенията за достъп до определени компоненти на платформата, които има всяка отделна програма. Оказва се, че 86% от приложенията искат достъп до повече компоненти, отколкото реално имат нужда, за да работят безпроблемно. Повечето такива апликации са разработени от производителите и тъй като ги вграждат на т.нар. ниско ниво, т.е. почти в основния код на операционната система, те автоматично получават по-широк спектър от правомощия. Това създава по-голям риск за информацията на потребителя, която може да бъде достъпна от повече места, което пък улеснява хакерите.

Обхват на риска

Тъй като някои приложения имат достъп до впечатляващ брой правомощия, те могат да са особено рискови. В някои случаи тяхното компрометиране може да даде почти пълен достъп до телефона, включително и с възможност за изтриването на цялата информация на потребителя. Специалистите, провели проучването, допълват, че са се свързали с производителите, за да ги уведомят за откритията си. Някои от тях са заявили, че ще проверят проблема, но други така и не са върнали отговор, пишат учените в своето проучване, без да уточняват коя компания каква реакция е имала. Основното притеснение на инженерите е, че тенденцията се запазва между различните поколения на устройствата, което показва, че производителите не обръщат внимание или не осъзнават този проблем.

Според Марк Роджърс, един от главните специалисти на компанията за мобилен софтуер за сигурност Lookout, тази практика не е изолирана само към производителите на смартфони. "Ако разгледате пазара на мобилни приложения, ще видите, че има много апликации, които имат този проблем. Повечето програмисти целенасочено залагат достъп до повече компоненти, в случай че някога им се наложи", коментира той пред онлайн изданието Technology Review. Една от основните причини за това е, че всяка промяна в исканията за правомощия на дадено приложение изисква нов преглед за одобрение от страна на инженерите на Google, което отнема време.

Общо учените са открили 177 уязвимости в софтуера на смартфоните. Средно между 65% и 85% от тях, в зависимост от производителя произлизат именно от неговите действия и промени. Това поражда и друг проблем. Тези пропуски в сигурността не могат да се проследяват от Google и така те може да останат на разположение на хакерите много дълго време преди да бъдат открити и коригирани от интернет гиганта или производител, коментира Роджърс. "Надяваме се, че следващото поколение телефони ще има много по-високо ниво на сигурност в резултат на нашето проучване", допълва Ксуксиан Джианг, един от авторите на анализа.

Историята показва, че за съжаление производителите не реагират особено бързо, когато става дума за обновяване на софтуера на съществуващите устройства, особено на по-старите модели. Затова не можем да очакваме и мигновено решаване на този проблем. Хубавото на Android обаче е, че не само компаниите могат да го персонализират, а и потребителите. Инсталирането на антивирусен софтуер, както и на мениджъри на приложения например могат да са сравнително лесен начин за получаване на допълнителен контрол върху системата.

Изтриването на ненужните приложения също намалява риска. По-напредналите и смели потребители пък могат да внасят по-големи и сериозни промени в Android, като има немалко съвети по темата в специализираните интернет форуми. Google също полага усилия да подобри нивото на сигурност, като през май т.г. допълнително затегна изискванията за приложенията в онлайн магазина си. Остава и производителите да обърнат повече внимание на този елемент от мобилните телефони.

Оригиналния материал capital.bg

[Alxx®]

Тази статия онаглеждава мнението на покойния Стив Джобс, че сериозният производител трябва да прави сам софтуера и хардуера, т.е. да се погрижи за крайния резултат във всеки аспект.

[Anton]

Викторе, нали се сещаш, че има доста хора, които държат повече информация на телефоните си. Така че аргументът за "държа само списък за покупки и телефонни номера" не е валиден.

[dedil]

Самата идея да имаш смартфон е да го ползваш не само като телефон. Според доста анализатори директната гласова услуга не е сред десетте най-масово използвани такива от притежателите на умното устройство. Не мисля, че и тук в нашата татковина дереджето е различно, но нека всеки сам прецени. Аз лично ползвам дивайса си като телефон по-рядко, от колкото e-mail, i-net, различни приложения за пренос на текст и глас и няколко служебни за достъп до VPN и сървъри.

За мен сигурността е важен елемент от комуникацията. При това не само в един аспект, а цялостно, и като сигурност на хардуеръра, т.е. че няма нещо, което съхранявам в паметта да се строши, и като работа на приложенията, които ползвам за удоволствие, но с които си вадя насъщния, и като сигурност, че това, което комуникирам с някого (независимо по какъв начин) ще си остане само за "нашите уши". Не споделям ………………. /попълнете сами/, както казват някои голЕми държавни "мъже" че дори искат да ги подслушват, че нямало нищо нередно в това… но това е друга тема.

Мисля, че това, което прави iPhone и Apple, като цяло различни е именно този подход, за оптимизация на хард и софтуеър, в дизайн насочен към конкретен, а не масов потребител. Ако мога да използвам за пример и това, което се предлага в един класен ресторант с поне една звездичка Michelin (за съжаление в България си нямаме, защо ли?!) - менюто е с максимум по две ястия на стъпка, от които може да избереш, а в някои нямаш избор за храната, а само за виното и то само от няколко възможни и то, от които е преценил шефа, че най-добре си хармонират с ястието. Т.е. ако искаш да се насладиш максимално на това, което се предлага в конкретния ресторант, след като вече седиш на масата и може да си го позволиш това означава, че се доверяваш на преценката на майстора и се оставяш в ръцете му. В противен случай влизаш във всяка нормална кръчма и след като отделиш 15 -на минути, за да се зпознаеш с менюто, което е като една енциклопедия си поръчваш и хапваш.

Всеки сам прави избора си

[JVV]

Колкото до сигурността, освен бележки за покупки от супера и контакти друго нямам в телефона

Сигурността е широко понятие. Докато си държиш само бележките от "супера", червейче може да ти набие 900 лв сметка за телефон. Примерно.

После иди обяснявай на оператора как си бил имал лимит сто лева.

[Alxx®]

Казал ти е някой. Неограничени са ти нормалните разговори, а тези с добавена стойност сложи ли ги в сметката?

[Lyudmil]

Да не говорим, че един разговор се осчетоводява чак след неговото приключване, т.е независимо, че разговора, който водиш би надхвърлил месечния ти лимит, то той няма да бъде прекъснат в момента, в който го достигнеш, както е при предплатените карти, а чак след неговото приключване и съответно разликата ще ти бъде добавена към фактурата. Т.е с две думи к'ъвто и лимит да имаш, можеш спокойно да получиш фактура, в която си го надхвърлил двойно или тройно. Честито на печелившите.

[MMJ]

За андроида ни е ясно, да чуем коментар относно иОС по тази статия:

http://www.hotforsec...mpaign=H4S]link

[Alxx®]

Ще си позволя да ти отговоря аз: не съм чул още, някой iOS юзър да пищи по темата. И, второ: тази тема е за друго. Драсни една собствена, базирана на линка и ще я дъвчем.