OPREZ

Otkriveni opasni propusti: Ugroženi su milioni Androida

Ilustracija

Zimo.dnevnik.hr

14.8.2018

Otvorenost Androida ima brojne prednosti, no zbog te otvorenosti i npr. mogućnosti skidanja aplikacija i s drugih izvora, a ne samo s Googlea Play, postoji mogućnost skidanja opasnih i nesigurnih aplikacija. Također, zahvaljujući toj otvorenosti i druge kompanije poput mobilnih operatera mogu modificirati kod prije plasiranja uređaja na tržište, a iako takve modifikacije omogućuju raznolikost uređaja i softvera, problem je što one otežavaju redovitu sigurnosnu nadogradnju operativnog sistema. 

No, kako su ove sedmice pokazali sigurnosni istraživači iz kompanije "Kryptowire", postoji još jedan veći problem – takve modifikacije mogu uzrokovati propuste u firmwareu i ugroziti sigurnost korisnika, odnosno pametnih uređaja. Naime, kako je to za Wired objasnio izvršni direktor "Kryptowirea" Anđelos Stavru (Angelos Stavrou), veliki broj ljudi i kompanija u nabavnom lancu želi dodati vlastite aplikacije, prilagoditi Android i dodati vlastiti kod, što povećava mogućnost softverske pogreške, ali povećava mogućnost (uspješnih) napada. 

Kako bi se iskoristile takve ranjivosti na telefonima, korisnici prvo moraju preuzeti i instalirati aplikacije na pametne telefone, no problem je što takve aplikacije ne bi trebale tražiti neka posebna dopuštenja poput pristupa podacima o porukama ili pozivima, već bi se ti propusti mogli iskoristiti samom instalacijom aplikacija na telefon, bez sumnje korisnika da je riječ o problematičnim/opasnim aplikacijama.

Ukratko, zbog svega navedenog ugrožena je sigurnost kupaca, tj. korisnika telefona jer su njihovi telefoni ranjivi, odnosno nezaštićeni od potencijalnih napadača koji bi mogli iskoristiti takve propuste, a riječ je o zaista opasnim propustima koji bi mogli imati teške posljedice za korisnike – npr. zaključavanje pristupa telefonu vlasnicima uređaja, hakeri bi mogli imati pristup mikrofonu i drugim opcijama smartphonea itd. 

Istraživanje koje su proveli sigurnosni stručnjaci "Kryptowirea" fokusirano je ponajviše na telefone Asusa, LG-a, Essentiala i ZTE-a u ponudi američkih mobilnih operatera. Nakon upozorenja o problemu, ove su kompanije reagirale te je većina njih objavila nadogradnje s kojima bi se ovi problemi trebali riješiti.

No, Stavru upozorava kako niti takvo rješenje nije uvijek učinkovito jer u procesu nadogradnje moraju sudjelovati i proizvođač telefona, mobilni operater i sam korisnik tako da do instalacije sigurnosne zakrpe na telefon može proći jako puno vremena, a vjerovatno dio samih korisnika neće htjeti nadograditi svoj uređaj novim softverom pa će njihovi telefoni cijelo vrijeme biti ugroženi. 

Treba napomenuti kako su Stavru i njegova ekipa objavili rezultate istraživanja samo za kompanije koje su već pripremile sigurnosne nadogradnje za svoje uređaje te je pitanje koliko su dodatnih propusta još pronašli, a o kojima ne žele govoriti kako ne bi ugrozili korisnike i njihove pametne telefone.

Vlasnik autorskih prava © avaz-roto press d.o.o.
ISSN 1840-3522.
Zabranjeno preuzimanje sadržaja bez dozvole izdavača.