Fake aplikace, fake updaty: Komu lze ještě věřit? | Kapitola 4
Seznam kapitol
Apple je kritizován za svůj přístup ve formě „uzavřené zahrady“, kde klade přísná kritéria na zveřejněné aplikace. Ukazuje se ale, že přísnost má něco do sebe a nedějí se jim tak hrozné věci, na které narazíme na jiných platformách. Na to, že jste v bezpečí, se totiž nemůžete spoléhat, ani když instalujete aplikace pouze z oficiálních zdrojů.
Root.cz přišel se vcelku šokující zprávou, že v moha případech nedodávají výrobci bezpečnostní záplaty, jenom mění datum systému tak, aby vypadal aktualizovaný. Jsou to „téměř všichni výrobci“, článek jmenovitě uvádí Samsung, Xiaomi, OnePlus, Sony, HTC, LG a Huawei!
Článek odkazuje na originální studii SRL (Security Research Labs), která ukazuje podrobné údaje po výrobcích. Z tabulky hříšníků vidíme, že mezi „ty lepší“ patří Google, Samsung či Sony, kterým chybí typicky „žádný až jeden“ bezpečnostní patch, zatímco výrobci jako OPPO či ZTE chybí v jejich přístrojích „čtyři a více“ bezpečnostních patchů. To v podstatě znamená, že mnoho výrobců má ve svých telefonech závažné bezpečnostní slabiny, které dovolí proniknout malwaru už na základě známých slabin.
Studie dále pokračuje konstatováním, že díky moderním technologiím, jako je sandboxing (izolace aplikací) a ASLR (Address Space Layout Randomization), tedy znáhodněním umístění běžících aplikací v paměti, takže hacker nemůže jednoduše hádat, kde se která aplikace nachází, je pro úspěšný hack obvykle nutné, aby nebylo opraveno více slabin. Úspěšný hack vyžaduje přítomnost několika neopravených slabin, které hacker využívá najednou.
Pro většinu hackerů je jednodušší podsunout vám falešnou aplikaci anebo použít sociální inženýrství – prostě si vám o heslo anebo o práva řeknou. Přesto ale existují výkonní hackeři, kteří upravují svoje nástroje podle známých zranitelností a u nich je kritické opravit chyby rychle, aby jejich metody nefungovaly úspěšně dlouho. Autoři proto doporučují nainstalovat si aplikaci SnoopSnitch, kterou vyvinuli a nabízí ji zdarma – po spuštění vám řekne, které slabiny byly opraveny. (Těžko říct jak to funguje, na tabletu od Lenova mi to nejede. Tak snad to není fake app!)
Google oznámil vývoj technologie Treble, která oddělí na hardwaru závislou část operačního systému od nezávislé a tím pádem by měla zjednodušit opravy. To znamená, že i když výrobce nemění na hardwaru závislou část, stále byste měli mít možnost získávat updaty pro hardwarově nezávislou část OS.
Zdá se, že Treble je přítomen už ve vývojářské verzi Android P a finální verze pro uživatele by měla být k dispozici na podzim. Více detailů přináší MobilMania.
Komentáře naleznete na konci poslední kapitoly.
