Sunday, July 5th 2020

maj
2012
3

Aplikacje z nieznanych źródeł a nasze bezpieczeństwo

Wyobraź sobie leniwy niedzielny poranek, kiedy rozkoszujesz się gorącym majowym weekendem siedząc sobie pod gruszą i popijając swój ulubiony trunek. Gdy myślisz, że lepiej już być nie może, słyszysz brzęczenie telefonu, który po chwili odbierasz. I cały urok majówki pryska, gdy okazuje się, że dzwoni bank z pytaniem, kiedy uregulujesz swój 1000zł debet na koncie. “Ale jak to?” – pomyślisz – “Przecież na koncie mam jeszcze 3000zł”?! I uświadamiasz sobie, że miesiąc wcześniej zainstalowałeś piracką kopię pewnego programu.

Zardzewiały android

To oczywiście jeden z najgorszych acz zarazem, dzięki Bogu, jeden z najmniej prawdopodobnych scenariuszy, jakie mogą się zdarzyć po instalacji aplikacji z nieznanego źródła. Dlatego zawczasu warto sobie uświadomić, jakie mogą (bo oczywiście nie muszą) być konsekwencje instalacji takich aplikacji. Szczególnie ostrożni powinni być posiadacze zrootowanych smartfonów, gdyż posiadanie uprawnień root niesie ze sobą równie wiele korzyści co niebezpieczeństw. Szczególnie w rękach osób niezorientowanych w nowych technologiach.

A więc jakie mogą być potencjalne ataki na posiadaczy smartfona z systemem Android? Oto krótka lista z możliwymi scenariuszami.

1. Kradzież pieniędzy z konta bankowego

Telefon bez roota:
Instalując aplikacje bardzo rzadko zwracamy uwagę na to, jakie uprawnienia jej przyznajemy. Jest to pewne przyzwyczajenie z systemów stacjonarnych, gdzie raczej nie prowadzi się takiej polityki bezpieczeństwa. Jednak w przypadku systemu Android, jest to istotna kwestia. Wszelkie czynności, jakie aplikacja będzie przeprowadzać, muszą być określone tak, aby przed instalacją użytkownik mógł zapoznać się z modułami, do których będzie miał dostęp program. A więc jeśli podczas instalacji nie będzie wyszczególnionej opcji typu: “Wysyłanie płatnych wiadomości tekstowych”, aplikacja nie będzie mogła wysyłać wiadomości SMS.

Warto zwrócić uwagę na zabezpieczenia bankowe. Jeśli ktoś w jakiś sposób przechwycił nasz numer konta bankowego lub numer klienta banku oraz hasło użytkownika (np. poprzez malware na komputerze stacjonarnym), będzie mógł się zalogować poprzez system bankowości elektronicznej na nasze konto. Jednak do przelania pieniędzy na swoje konto, będzie potrzebował jeszcze kodu autoryzacyjnego transakcji.

W tym momencie wchodzi niebezpieczeństwo posiadania programu nasłuchującego na telefonie komórkowym. Jeśli np. instalujemy piracką kopię programu Automapa (lub jakiegokolwiek innego), powinniśmy bacznie uważać na to, jakie uprawnienia mu przyznajemy. Może się okazać, że haker zmienił kod programu na tyle, że oprócz funkcji nawigacji, dołożył do niego moduł odczytywania wiadomości SMS. W razie otrzymania wiadomości z banku, program taki wysyła kod autoryzacyjny hakerowi oraz zapobiega dostarczeniu wiadomości do skrzynki odbiorczej systemu, przez co program odpowiedzialny za odbiór SMS nie dostanie jakiekolwiek informacji o nowym SMSie.

Dzięki temu mogą minąć dni, a nawet miesiące nim zorientujemy się, że z naszego konta zniknęła pokaźna suma pieniędzy.

Android wyjmujący/wkładający pieniądze do banku

Android może służyć także do wyprowadzania pieniędzy z naszego banku

 

Telefon z rootem:
Na smartfonach, jako najbardziej mobilnych komputerach osobistych, przechowujemy niezliczoną ilość informacji. Często bywa tak, że notujemy na nim wszelkie przydatne informacje począwszy od listy zakupów, a na numerze konta i haśle skończywszy.

 

Musimy jednak pamiętać, że o ile w przypadku systemów, które nie posiadają roota, telefony zrootowane nie zapewniają całkowitej izolacji aplikacji od siebie nawzajem. Wprawdzie większość (jeśli nawet nie wszystkie) customowych ROMów posiada pewne zabezpieczenie przed nieautoryzowanym dostępem do praw roota (w postaci specjalnej wersji aplikacji *nixowej “su” jak i Androidowego interfejsu w postaci aplikacji Superuser), to jednak znajdą się i tacy, którzy nie zastanowią się po co aplikacji XYZ potrzebne są prawa roota.

W tej sytuacji wystarczy, że na telefonie mamy zapisane właśnie konto i hasło do banku i możemy spodziewać się niemałych problemów finansowych.

Oczywiście ten scenariusz możemy przenieść na całą gamę różnorodnych usług. Od poczty email, przez konta gier (jak choćby World of Warcraft), po takie rzeczy jak informacje firmowe.

2. Usługi płatne

Jak zwykle przy zabezpieczeniach wszelkiego rodzaju, człowiek jest najsłabszym ogniwem. Ponownie jak w powyższym, najbardziej newralgicznym momentem w obecnym jest sprawdzenie uprawnień aplikacji podczas jej instalacji.

Jeśli nie zwrócimy uwagi, czy aplikacja zyskuje możliwość wysyłania wiadomości sms czy bezpośredniego wybierania numerów, możemy być narażeni na dwa scenariusze.

Haker może przykładowo automatycznie wysyłać co miesiąc jeden SMS na numer premium, dzięki czemu ma stałe źródło łatwego dochodu. Jeśli cena wysłania SMSa przemium nie będzie nadto wysoka, użytkownik może przez długi czas nie zorientować się, że oprócz swojego głównego zadania, aplikacja powoduje nieznaczny przyrost rachunku telefonicznego.

Może także stworzyć aplikację, która nabije nam rachunek na wiele złotych w parę chwil, wysyłając co chwilę premium smsy, aż zostanie odcięta możliwość ich wysyłania przez operatora.

Pośrednim zabezpieczeniem przed takimi sytuacjami jest blokada wykonywania połączeń i wysyłania wiadomości na numery premium.

3. Kompromitujące zdjęcia

Oprócz szpiegowania innych aplikacji czy wysyłania SMSów, złośliwy kod może również posłużyć jako narzędzie szantażu.

Niejedna osoba wykonuje swoje zdjęcia w wyzywających pozach, choćby po to by wysłać je swojej drugiej połówce. Niekiedy tylko śmieszne, niekiedy jednak mogą być to roznegliżowane sesje danej osoby.

Android robiący zdjęcia w negliżu

Lepiej uważać przy robieniu sobie kompromitujących zdjęć

 

Jeśli haker zyska dostęp do takich zdjęć, może szantażować taką osobę choćby przez ich wysłanie do wszystkich znajomych z listy kontaktów. Ofiara może być zmuszona zapłacić okup, aby zdjęcia nie wypłynęły na światło dzienne. Taki szantaż zazwyczaj bywa przeprowadzany przez automaty, więc przestępca nie musi przeznaczać swego czasu na zajmowanie się tym od strony logistycznej, a nam przysparza nie tylko wrażeń finansowych, ale i nerwowych sytuacji (Bo jak bliscy, przyjaciele czy choćby współpracownicy zareagują na takie zdjęcia?).

 

Podsumowanie

Swojego czasu nawet na Android Markecie (obecnie Google Play) było obecne wiele niebezpiecznego oprogramowania. Jednak po powstaniu licznych grup “patrolujących” sklep oraz wprowadzeniu przez Google Bouncera, sytuacja nieco się unormowała.

Korzystanie z nieznanych źródeł aplikacji ogranicza niestety pole ochronne naszego smartfona. Ostatnią linią obrony jest wyłącznie system i zainstalowane już oprogramowanie ochronne a przeciwnikami, o dziwo, my sami (zezwalanie aplikacji na wszystko, o co poprosi). Pamiętajmy, aby przed instalacją oprogramowania z nieznanego źródła sprawdzić, jakich uprawnień się ona domaga. Jeśli wzbudzą one nasze podejrzenia (np. wysyłanie sms w aplikacji do obróbki zdjęć), lepiej zrezygnować z instalacji niż narazić się na znacznie poważniejsze problemy – począwszy od tak mało niebezpiecznych sytuacji, jak mozolne usuwanie niebezpiecznego oprogramowania z naszego telefonu, a skończywszy na wskazanych wyżej przykładach.

Większość cen aplikacji ze sklepu Google Play nie przekracza 20zł, a wiele z nich ma również darmowe odpowiedniki. Aplikacje, nawet jeśli są drogie to zazwyczaj spełniają zakładane oczekiwania.

Możemy również polować na wszelkiego rodzaju obniżki czy promocje, zarówno na stronie Google jak i producenta aplikacji.

Starajmy się wspierać jednak producentów oprogramowania, a na pewno na system Android będzie wychodziło jeszcze więcej coraz lepszego oprogramowania.



Podobne Posty