Kihasználva a népszerű Skype csevegőprogram súlyos hibáját, a hackerek az androidos okostelefonokról szinte bármilyen információt begyűjthetnek, beleértve a belépési adatokat, a felhasználó e-mail címét és fiókjának jelszavát, kontaktlistáját vagy akár a beszélgetése logfájljait is. A hibára egy androidos programozói blog szakértője bukkant rá, és gyorsan nyilvánosságra is hozta. „A Skype programozói valamilyen tévedés folytán több fájlban nem állították át a hozzáférési jogokat, így bárki, vagy bármilyen másik alkalmazás kihasználhatja ezeket” – tudatta a Justin Case felhasználói néven publikáló szakértő. A hiba lehetővé teszi, hogy rosszindulatú fejlesztők ugyanezt a programozási hátsó ajtót beépítsék saját alkalmazásukba. Ezzel eláraszthatják a felhasználókat az Android Marketen keresztül, majd pedig egyszerűen begyűjthetik az adataikat.
Slágertéma ■ Adrian Asher, a Skype biztonsági vezetője gyorsan reagált a hírre: egy blogbejegyzésben elismerte a hibát. Ezt ugyan pár nap alatt orvosolták, Asher azonban maga is hangsúlyozta, hogy a felhasználóknak jobban oda kell figyelniük arra, miket töltögetnek le a korábban kontroll nélkül működő Android Marketről. A biztonsági problémákra reagálva a Google egy ideje felvette a harcot a kártékonynak ítélt programokkal szemben. Ezeket azonnal törlik az alkalmazásboltjukból, sőt a felhasználók telefonjaira installáltakat akár távolról is képesek kiiktatni.
A fenti példa jól illusztrálja, hogy az informatikai biztonsági szakértők a 2011-es esztendő egyik slágertémájának miért éppen az okostelefonok biztonságát jelölték meg. A korábbinál jóval fejlettebb készülékek szerte a világon rohamosan terjednek. Az amerikai Gartner cég előrejelzése szerint 2013-ra az okostelefon lesz a felhasználók elsődleges IT platformja, és az efféle készülékek száma addigra meghaladja a PC-két és laptopokét. Mindeközben a mobiltulajdonosok döntő többsége még mindig nincs azzal tisztában, hogy a zsebében már-már egy számítógép összes tulajdonságával felvértezett masina lapul, amely a legkifinomultabb támadásoknak van kitéve.
Az amerikai AVG Bank a közelmúltban a pénzintézeti adatokkal összefüggő mobiltelefonos szokásokról készített felmérést. Mint kiderült, a megkérdezettek 91 százalékának fogalma sincs arról, hogy léteznek banki adatok ellopására szakosodott mobilos vírusok. A legnagyobb veszélynek azok a felhasználók vannak kitéve, akik a telefonjukkal is ugyanazt a hibát követik el, mint amikor határidőnaplójuk hátuljára, vagy a pénztárcájukba egy cetlire szép, kövér betűkkel felírják a bankkártyájuk PIN kódját. A válaszadók 29 százaléka ugyanis úgy nyilatkozott, mobiltelefonjukban elmentették bankkártyájuk adatait, akár a PIN kódokkal együtt. Arra a kérdésre pedig, hogy tárol-e bizalmas munkahelyi adatokat, belépőkódokat vagy dokumentumokat a telefonján, 35 százalék válaszolt igennel. A mobilosok egyharmada mélységesen megdöbbent, amikor a felmérésben rávilágítottak: az üzleti telefon felelőtlen magánjellegű használatával a céges adatbiztonságot is veszélyeztetik.
Hasonló trendek olvashatók ki az informatikai biztonságra szakosodott Ponemon Institute kutatásából is. E szerint a felhasználók 84 százaléka ugyanazt az okostelefont használja munkára és magáncélra. Ez vonzó célponttá teszi az eszközöket a bűnözők számára. Ráadásul az emberek többsége úgy nyilatkozott, hogy egyáltalán nem néz utána, milyen forrásból tölt le például egy új alkalmazást. Gaidosch Tamás, a KPMG partnere azt hangsúlyozta a közelmúltban a Figyelő és a Bitport által informatikai vezetőknek rendezett CIO’11 konferencián, hogy a hagyományos mobilok sem voltak mentesek a sebezhetőségtől (például a Bluetooth, a WAP révén), de az okostelefonoknál sokkal több probléma merülhet fel. A biztonsági kockázatok és támadási lehetőségek rendkívül szerteágazóak: a földrajzi követéstől a pénzügyi adatok megszerzését célzó akciókon és a megtévesztő applikációkon keresztül egészen a telefon elvesztéséig, felügyelet nélkül hagyásáig. Ez utóbbi akkor is veszélyes lehet, ha csak néhány percre nincs a felhasználónál a készülék, ennyi idő bőven elegendő lehet ugyanis a kritikus adatok megszerzéséhez.
Nagy támadási felület ■ „A mobileszközök biztonsági kockázatai sokszor nem is elsősorban a technológiából, hanem a felhasználói szokásokból erednek” – hívta fel a figyelmet Márton Miklós, a Kürt Zrt. üzleti vezérigazgató-helyettese is. A vállalati felhasználók, sőt gyakran még az információbiztonságért felelősök is elsiklanak a rizikófaktorok felett. Így nincsenek tisztában azzal, hogy a mobileszközök többnyire nem rendelkeznek megfelelő szintű védelemmel. Emellett a használatuk révén a személyes és vállalati adatok gyakorlatilag összeolvadtak. Ez egyrészt rést üt a cég nehezen kiépített védelmi vonalain, másrészt a felhasználó és az őt foglalkoztató vállalat számára is nagy kockázatokat rejt.
A magáncélú használat esetén már azzal is sokat teszünk a védelemért, ha a lehető legszigorúbb gyári beállításokat és titkosítást alkalmazzuk. Ugyanakkor valamennyi platformra elérhetők például olyan alkalmazások, amelyekkel akár távolról is lementhetjük, majd törölhetjük az illetéktelen kézbe került telefonunkon található adatokat. A vállalati környezetben azonban – figyelmeztet a Kürt szakembere – a heterogén mobilflotta központi menedzsmentjére, az informatikai biztonsági szabályzat kiterjesztésére és a biztonsági tudatosságot erősítő oktatásra is szükség van.
(A cikk a Figyelő 2011/17. számában jelent meg.)
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak