Az okostelefonok legnagyobb biztonsági rizikója abban rejlik, hogy egy helyen tárolja az összes személyes és céges adatunkat, így azok minden eddiginél könnyebben kerülhetnek rossz kezekbe.

Kihasználva a népszerű Skype csevegőprogram súlyos hibáját, a hackerek az androidos okostelefonokról szinte bármilyen információt begyűjthetnek, beleértve a belépési adatokat, a felhasználó e-mail címét és fiókjának jelszavát, kontaktlistáját vagy akár a beszélgetése logfájljait is. A hibára egy androidos programozói blog szakértője bukkant rá, és gyorsan nyilvánosságra is hozta. „A Skype programozói valamilyen tévedés folytán több fájlban nem állították át a hozzáférési jogokat, így bárki, vagy bármilyen másik alkalmazás kihasználhatja ezeket” – tudatta a Justin Case felhasználói néven publikáló szakértő. A hiba lehetővé teszi, hogy rosszindulatú fejlesztők ugyanezt a programozási hátsó ajtót beépítsék saját alkalmazásukba. Ezzel eláraszthatják a felhasználókat az Android Marketen keresztül, majd pedig egyszerűen begyűjthetik az adataikat.

Slágertéma Adrian Asher, a Skype biztonsági vezetője gyorsan reagált a hírre: egy blogbejegyzésben elismerte a hibát. Ezt ugyan pár nap alatt orvosolták, Asher azonban maga is hangsúlyozta, hogy a felhasználóknak jobban oda kell figyelniük arra, miket töltögetnek le a korábban kontroll nélkül működő Android Marketről. A biztonsági problémákra reagálva a Google egy ideje felvette a harcot a kártékonynak ítélt programokkal szemben. Ezeket azonnal törlik az alkalmazásboltjukból, sőt a felhasználók telefonjaira installáltakat akár távolról is képesek kiiktatni.

A fenti példa jól illusztrálja, hogy az informatikai biztonsági szakértők a 2011-es esztendő egyik slágertémájának miért éppen az okostelefonok biztonságát jelölték meg. A korábbinál jóval fejlettebb készülékek szerte a világon rohamosan terjednek. Az amerikai Gartner cég előrejelzése szerint 2013-ra az okostelefon lesz a felhasználók elsődleges IT platformja, és az efféle készülékek száma addigra meghaladja a PC-két és laptopokét. Mindeközben a mobiltulajdonosok döntő többsége még mindig nincs azzal tisztában, hogy a zsebében már-már egy számítógép összes tulajdonságával felvértezett masina lapul, amely a legkifinomultabb támadásoknak van kitéve.

Az amerikai AVG Bank a közelmúltban a pénzintézeti adatokkal összefüggő mobiltelefonos szokásokról készített felmérést. Mint kiderült, a megkérdezettek 91 százalékának fogalma sincs arról, hogy léteznek banki adatok ellopására szakosodott mobilos vírusok. A legnagyobb veszélynek azok a felhasználók vannak kitéve, akik a telefonjukkal is ugyanazt a hibát követik el, mint amikor határidőnaplójuk hátuljára, vagy a pénztárcájukba egy cetlire szép, kövér betűkkel felírják a bankkártyájuk PIN kódját. A válaszadók 29 százaléka ugyanis úgy nyilatkozott, mobiltelefonjukban elmentették bankkártyájuk adatait, akár a PIN kódokkal együtt. Arra a kérdésre pedig, hogy tárol-e bizalmas munkahelyi adatokat, belépőkódokat vagy dokumentumokat a telefonján, 35 százalék válaszolt igennel. A mobilosok egyharmada mélységesen megdöbbent, amikor a felmérésben rávilágítottak: az üzleti telefon felelőtlen magánjellegű használatával a céges adatbiztonságot is veszélyeztetik.

Hasonló trendek olvashatók ki az informatikai biztonságra szakosodott Ponemon Institute kutatásából is. E szerint a felhasználók 84 százaléka ugyanazt az okostelefont használja munkára és magáncélra. Ez vonzó célponttá teszi az eszközöket a bűnözők számára. Ráadásul az emberek többsége úgy nyilatkozott, hogy egyáltalán nem néz utána, milyen forrásból tölt le például egy új alkalmazást. Gaidosch Tamás, a KPMG partnere azt hangsúlyozta a közelmúltban a Figyelő és a Bitport által informatikai vezetőknek rendezett CIO’11 konferencián, hogy a hagyományos mobilok sem voltak mentesek a sebezhetőségtől (például a Bluetooth, a WAP révén), de az okostelefonoknál sokkal több probléma merülhet fel. A biztonsági kockázatok és támadási lehetőségek rendkívül szerteágazóak: a földrajzi követéstől a pénzügyi adatok megszerzését célzó akciókon és a megtévesztő applikációkon keresztül egészen a telefon elvesztéséig, felügyelet nélkül hagyásáig. Ez utóbbi akkor is veszélyes lehet, ha csak néhány percre nincs a felhasználónál a készülék, ennyi idő bőven elegendő lehet ugyanis a kritikus adatok megszerzéséhez.

Nagy támadási felület „A mobileszközök biztonsági kockázatai sokszor nem is elsősorban a technológiából, hanem a felhasználói szokásokból erednek” – hívta fel a figyelmet Márton Miklós, a Kürt Zrt. üzleti vezérigazgató-helyettese is. A vállalati felhasználók, sőt gyakran még az információbiztonságért felelősök is elsiklanak a rizikófaktorok felett. Így nincsenek tisztában azzal, hogy a mobileszközök többnyire nem rendelkeznek megfelelő szintű védelemmel. Emellett a használatuk révén a személyes és vállalati adatok gyakorlatilag összeolvadtak. Ez egyrészt rést üt a cég nehezen kiépített védelmi vonalain, másrészt a felhasználó és az őt foglalkoztató vállalat számára is nagy kockázatokat rejt.

50-nél több kártékony appot kellett törölni az Android Marketről
A mobilhasználók 90 százaléka felelőtlen


A magáncélú használat esetén már azzal is sokat teszünk a védelemért, ha a lehető legszigorúbb gyári beállításokat és titkosítást alkalmazzuk. Ugyanakkor valamennyi platformra elérhetők például olyan alkalmazások, amelyekkel akár távolról is lementhetjük, majd törölhetjük az illetéktelen kézbe került telefonunkon található adatokat. A vállalati környezetben azonban – figyelmeztet a Kürt szakembere – a heterogén mobilflotta központi menedzsmentjére, az informatikai biztonsági szabályzat kiterjesztésére és a biztonsági tudatosságot erősítő oktatásra is szükség van.

(A cikk a Figyelő 2011/17. számában jelent meg.)

42. Körkapcsolás: Mi és az MI

Mekkora teret hagy a projektmenedzsereknek a mesterséges intelligencia? Többek között erre az aktuális kérdésre keresték a választ a PMSZ rendezvényén.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.