Все по-широкото навлизане на операционната система Android извежда на преден план въпроса за сигурността на потребителските данни при използването ú.
През 2005 г. Google закупува базираната на Linux операционната система Android от Android Inc. с цел да я подобрява и развива, като се стреми да я наложи като масово използвана върху мобилните устройства. Няколко години по-късно може да се каже, че както с много други начинания, така и с това, Google имат успех. Докато пред 2009 г. Android има дял от само 2.8% от световния пазар на смартфони, то през 2010 г. е вече 33%, през 2011 г. – 52.5%, а до третото тримесечие на 2012 г. – над 75%. Разширяването на делът на Android като масова операционна система на пазара в мобилни устройства и все по-широкото ú използване за бизнес цели, онлайн пазаруване, електронно банкиране и други важни ежедневни дейности, кара изследователите на компютърната сигурност да разглеждат сериозно възможностите за пробиви в сигурността на операционната система, застрашаване на потребителските данни и вариантите за предпазване от това.
Приложения от Google Play
Магазинът на Google за приложения Google Play е една от основните причини за бързото нарастване на делът на Android на мобилния пазар. Отвореният код на операционната система заедно с безплатно предоставените SDK/API за разработване на приложения от софтуерни компании и отделни програмисти доведоха до огромен бум на количеството приложения. За съжаление, не толкова високо е качеството на повечето от тях и възможността за пълен контрол на достъпа им до данните на потребителите.
Няколко неща са важни за наблюдение при инсталиране на приложения от Google Play.
1. Контролирайте исканите права от приложенията.
В началото на самото инсталиране не малко приложени изискват достъп до Вашите данни и ресурси на устройството, които може да не са им нужни. Google има собствена автоматизирана система за преглед на правата (Bouncer), но винаги е добре да имате едно на ум, че някой може да я заобиколи. Например в случай, че приложение за рисуване изисква разрешаване на права за изпращане и получаване на SMS, то е логично да решите, че това не е нормално и да откажете инсталирането, в противен случай рискувате например в даден момент приложението да започне да изпраща SMS-съобщения от Ваше име до високотарифни номера (при това с Ваше съгласие) и така да се наложи да заплатите не малка сума пари на мобилния си оператор. Друго приложение може да използва данни за Вашата локация, въпреки че тя не му е нужна за да функционира, но ако авторът на софтуера е свързан с кибер-престъпна група, то той ще може да получава информация кога сте в офиса си, у дома или на почивка, и адресите на които се намирате в момента. Четете внимателно какви права давате на приложенията, които се инсталират в Android устройствата ви, за да не пострадате!
2. Не давайте ненужни данни на приложенията.
Когато инсталирате дадено приложение, обикновено разработчикът получава данни от вашия Google профил. Така всички публични данни в профила ви като телефонни номера, адреси на живеене и т.н. са леснодостъпни. Допълнително в настоящия етап на развитието си Android дава неограничен достъп на приложенията до снимките на потребителя, което означава, че при лошо стечение на обстоятелствата Ваши снимки могат да се появят някъде в Интернет, където не им е мястото. Google работят по този въпрос, но все още не са излезли с подходящо окончателно решение поради многообразното използване на тези ресурси.
3. Злонамерени приложения.
Докато в предните точки стана дума за злонамерени действия поради ваши грешки и разрешаване на права, то трябва да знаете, че има (макар и не много) случаи на откриване на злонамерени приложения използващи уязвимости в Android, при които дори да не сте разрешили достъп до нищо все пак имат достъп до определени данни. От такъв тип е например уязвимост докладвана през април 2012 г., при която се открива, че всяко инсталирано приложение може да има достъп до всички файлове съхранени на SD картата, (включително снимки, документи, архиви и др.) и да извършва с тях действия като копиране, изтриване и др. Всяко инсталирано приложение (дори без права) също така може да получи частична информация за системните характеристики, списък с инсталирания софтуер, информация за производителя на устройството и SIM-картата. Такова приложение също може да стартира браузер и чрез него да експортира всички събрани данни. Особено опасно е така нареченото root-ване на Android устройства, при което злонамерните приложения могат да имат неограничен достъп, включително до системните файлове – затова то не бива да се прави.
Външни приложения
Освен чрез Google Play някои потребители инсталират приложения закупени и изтеглени от други източници, при които сигурността не е на нивото на официалния магазин. Разбира се, можете да инсталирате приложения от Amazon.com или други известни сигурни сайтове, но ще е странно да се съгласите да изтеглите и инсталирате „изгодно“ приложение от сайт с непознато име и да очаквате, че няма да имате проблеми – по-вероятно е да имате. Освен, че при пазаруване в официални и стабилно подсигурени магазини (като Google Play, Amazon, и др.) имате високо ниво на защитеност, данните за кредитната ви карта няма да бъдат предавани пряко на производителя, а само уведомяване за постъпило плащане. При неизвестни доставчици на приложения и неизвестни системи за плащания, закупуването на приложения и данни за тях би било голям риск. Препоръчително е пазаруване на приложения с кредитни карти само от доказали се онлайн магазини.
Търговия с потребителски данни
Макар и незаконно и непозволено от договорните документи на Google, търговията с потребителски данни може да бъде сериозен проблем за повечето потребители. Тъй като в процеса на инсталиране Вие подавате данните си към трета страна, то всичко което можете да се надявате е, че доставчикът на приложението няма да злоупотреби с данните Ви. Но как можете да бъдете сигурни в това? Не можете. Ако доставчикът на софтуера има имейл адреса Ви или други данни взети от устройството, то тези данни може да попаднат в непознати за Вас физически или юридически лица – независимо дали това е станало незаконно (чрез предоставяне и продажба на данните) или чрез изтичането на данните при хакерска атака на сървърите на производителя. Така или иначе сигурността Ви може да бъде застрашена. Това важи с особена сила, ако използвате например еднакви пароли за различните сайтове и услуги, включително онлайн сайтове за игри, пазаруване, банкиране и др. Престъпниците могат да се възползват от получените потребителски имена, имейли и пароли и в следствие на това да имате сериозни главоболия.
В заключение
Сигурността на потребителските данни в Android не е напълно защитена. В Android все още се срещат (и вероятно ще се срещат и в бъдеще) уязвимости, които не могат веднага да бъдат открити и премахнати. Създаваният от киберпрестъпници злонамерен софтуер допълнително заплашва данните на потребителите и създава възможност за неправомерното им използване. Потребителите са основното звено в защитата на мобилните им устройства като инсталират приложения само от проверени източници, където данните им са защитени доколкото позволяват договорните отношения между Google и съответните производители.
Използването на антивирусен софтуер за защита на Android устройствата не може да даде 100% сигурност на данните, но е силно препоръчително, тъй като би се справило с огромен брой неочаквани и нежелани последствия от инсталиране на злонамерени приложения. Такъв безплатен софтуер (или пък 30-дневна безплатна версия за изпробване на платен продукт) можете да инсталирате от: http://www.avgmobilation.com/android
Автор: инж. Ивайло Тинчев
За автора:
Инж. Ивайло Тинчев е управител и собственик на „Бизнес Софтуер Дистрибутор“ ЕООД (http://www.bsd.bg/), оторизиран разпространител за България на някои от най-известните и водещи световни компании разработващи софтуер за управление и сигурност на сървъри и мрежи в малки, средни и големи организации, някои от които AVG Technologies, GFI Software, Acronis, Diskeeper, StarWind Software и Entensys. През 1997 г. инж. Тинчев завършва Техническия Университет в гр. Габрово със специалност „Компютърни Мрежи и Системи“. Той е говорител на организирани от компанията му и от външни организации семинари и конференции. Участник е във форуми и дискусии за информационна сигурност и защита на информацията.
Отказ от права: Всички продукти и имена на компании в текста може да са търговски марки на съответните собственици. Според най-добрите ни познания всички детайли в момента на публикуването са били верни. Информацията може да бъде променена без уведомяване.