Fake aplikace, fake updaty: Komu lze ještě věřit? | Kapitola 2
Seznam kapitol
Apple je kritizován za svůj přístup ve formě „uzavřené zahrady“, kde klade přísná kritéria na zveřejněné aplikace. Ukazuje se ale, že přísnost má něco do sebe a nedějí se jim tak hrozné věci, na které narazíme na jiných platformách. Na to, že jste v bezpečí, se totiž nemůžete spoléhat, ani když instalujete aplikace pouze z oficiálních zdrojů.
Striktní kontrola slouží nepochybně k tomu, že Apple, podobně i jako vlastníci konzolových platforem, si drží exkluzivní přístup k platformě, což jim vynáší zisky. App Store, stejně jako Google Play, dnes žádá 30 % pro jednorázové nákupy a 15 % podílu z dlouhodobého předplatného. Jenomže ono se ukazuje, že kontrola a proces submitování aplikace je opravdu důležitý. Řada lidí si myslí, že pro jejich bezpečí stačí, aby si neinstalovali aplikace z cizích zdrojů a spolehli se na oficiální story.
Proces certifikace by měl zajistit, že aplikace jsou kompletní, nepadají, neboří systém a vůbec se chovají slušně. Ano, obsahují i spoustu podivných kritérií, jako například to, co za obsah se v nich smí anebo nesmí zobrazit, ale jádro je v technické způsobilosti aplikace a její kompatibilitě, aby si lidé nelikvidovali svoje zařízení. V tomto směru jde o docela důležitý proces.
Problém s aplikacemi je v tom, že i když jsou bez chyb, stále to neznamená, že jsou nějak zvlášť bezpečné. Will Dorman z CERT/CC uvedl na konferenci BSides, že při skenování aplikací pro Android zdarma nalezl 20 000 aplikací, která obsahovala natvrdo zakódované heslo, kryptografické klíče, případně kompletní vývojářský login. Někdy byly tyto údaje uložené přímo v kódu, jindy se maskovaly jako obrázek, bylo je ale možné najít a zneužít. Nejextrémnějším případem byla aplikace, která obsahovala vyvojářovy loginy jako pro iOS, tak pro Android a navíc také hlavní hesla pro aplikaci. Dorman řekl, že předpokládá, že podobné problémy najde i v placených aplikacích, nemá ale prostředky na to, aby je pro test kupoval.
Specifickým problémem je existence fake aplikací. Jde o aplikace, které se podaří propašovat do Google Play Store tak, aby uvedly uživatele v omyl. Takové aplikace připomínají legální a populární aplikace, za které se vydávají. Článek na svetandroida například ukazuje aplikaci „Update WhatsApp Messenger“, která se tváří jako updater pro WhatsApp Messenger. Využívá identickou ikonu a jediné, co bylo na fake aplikaci nápadné, bylo právě slovo „Update“. To nedává smysl, protože updaty mají na Play Store svůj vlastní mechanismus, který rozhodně nevyžaduje samostatnou aplikaci.
Komentáře naleznete na konci poslední kapitoly.
