Alig egy hónapja az Apple alkalmazásboltjának biztonsági ellenőrzéséről derült ki, hogy kijátszható, mégpedig meglehetősen egyszerűen: egy manipulált fejlesztő eszköz a fejlesztő tudta nélkül turbósította az alkalmazásokat adatgyűjtő funkciókkal. Most az Androidot is elérte valami hasonló: kiderült, hogy közel 20 ezer olyan androidos alkalmazás forog Kínában, amely gyűjti a felhasználó sms-eit, és továbbítja egy távoli szerverre.

A probléma most azért valamivel lokalizáltabb, mint az Apple esetében, azaz egyelőre főleg Kínában okozhat gondokat – írta a Biztonságportál.

A reklámkomponensekben rejtőzik

A most feltárt konkrét eset az androidos alkalmazásoknak azokra az összetevőire vezethető vissza, melyek a hirdetések megjelenítését biztosítják az adott alkalmazásban. Mivel pénzt nem szívesen fizetnek a felhasználók az appokért, ezért a fejlesztők úgy próbálják megszerezni munkájuk ellenértékét, hogy hirdetéseket jelenítenek meg az alkalmazásukban. Az erre szolgáló modulokat azonban nem maguk fejlesztik, hanem átveszik a hirdetéskiszolgálóktól, és azt egyszerűen beépítik az alkalmazásukba. Most egy ilyen modulról derült ki, hogy melléktevékenységként adatokat lop.

A Palo Alto Networks csapata fedezte fel, hogy a legnépszerűbb kínai mobil reklámkiszolgáló platform, a Taomike SDK (jelenleg legalább 63 ezer alkalmazásban ez a modul fut) körül nincs minden rendben. Megvizsgálták, és találtak 18 ezer olyan alkalmazást, amelyben a Taomike minden beérkező SMS-t nemes egyszerűséggel feltölt egy távoli szerverre.

Kiderült, hogy az SDK zdtpay nevű könyvtárában van egy "beégetett" URL, a hxxp://112.126.69.51/2c.php. Ez az a cím, amelyre a modul feltölti az SMS-eket. Ehhez regisztrál egy ún. receivert az Android alá, és arról is gondoskodik, hogy a készülék újraindítása után is be tudjon töltődni. Így rögtön érzékeli, ha új SMS érkezett, és azt azonnal továbbítja is a távoli szerverre. A legérdekesebb a dologban, hogy a szerver a Taomike fennhatsága alatt áll.

Még szerencse, hogy csak Kínában...

Szerencse a szerencsétlenségben, hogy az SMS-továbbítós alkalmazások a Google Playből nem tölthetők le, hanem csak kínai és nem hivatalos alkalmazásáruházakból. A probléma terjedését az is korlátozza, hogy kizárólag azokat az appokat érinti, amikbe a Taomike SDK augusztusban kiadott verzióját építették, a korábbi kiadások ugyanis nem tartalmazták az SMS-lopó kiegészítést. Az is nyújt némi védelmet, hogy az Android 4.4 (KitKat) óta csak azok a programok férhetnek hozzá közvetlenül az SMS-küldéshez, amelyek alapértelmezett SMS-alkalmazásként vannak megjelölve.

A felhasználó itt is védtelen. Egyet tehet: csak hivatalos forrásból származó alkalmazást telepít a mobiljára. És mint az Apple példája bizonyította, sokszor még ez is kevés. A Taomike SDK.hoz hasonló sztorik bárhol és bármikor felbukkanhatnak. A fejlesztők ugyanis szakmányba gyártják az alkalmazásaikat, de az ilyen ügyek jól mutatják, hogy a ez nem kedvez a biztonságtudatos fejlesztésnek. Pedig alapvető lenne, hogy a fejlesztő sorról sorra meggyőződjön arról, hogy alkalmazása azt és csakis azt teszi, amire készítették: sem kevesebbet, sem többet.