2014-06-25 18:20:07
Φωτογραφία για Ασφάλεια στην κινητή τηλεφωνία: Λειτουργικό σύστημα εναντίον εφαρμογών
Από τις πρώτες κιόλας μέρες της εποχής των smartphones, η κοινότητα της ασφάλειας πληροφοριών (Infosec) συγκρίνει την... ασφάλεια των κυρίαρχων λειτουργικών: του Android, του iOS, του BlackBerry και των Windows Phone (παλιότερα WindowsMobile).

Αλλά αυτή η αντιμετώπιση είναι μονοδιάστατη και δεν περιλαμβάνει μία πιο σημαντική πηγή κινδύνου: τις εφαρμογές (apps) των κινητών! Στο άρθρο αυτό ο Ιωάννης Κούκουρας, Διευθύνων Σύμβουλους της εταιρείας Twelvesec μας αναλύει οτιδήποτε σχετικά με την ασφάλεια των λειτουργικών συστημάτων για κινητά τηλέφωνα, αλλά και την κύρια πηγή κινδύνων, που δεν είναι άλλη από τις εφαρμογές που κατεβάζουν οι χρήστες.

Τέλος, θα δούμε πώς οι κατασκευάστριες εταιρείες μπορούν να βελτιώσουν την κατάσταση, βάζοντας δικλείδες ασφαλείας, φιλτράροντας τους δημιουργούς των εφαρμογών (app developers) που δημοσιεύουν εφαρμογές στο app store τους, αλλά και εκπαιδεύοντας και τους ίδιους τους χρήστες των εφαρμογών.


Οι εφαρμογές αποτελούν Δούρειο Ίππο στην ασφάλεια του λειτουργικού

Το θέμα της ασφάλειας ενός λειτουργικού συστήματος δεν είναι σε καμία περίπτωση αμελητέο.Αντίθετα, θα πρέπει να θεωρείται ένας από τους πλέον σημαντικούς παράγοντες για το μέλλον της ψηφιακής οικονομίας. Δυστυχώς όμως, η πλειονότητα των χρηστών αναλώνεται στην ασφάλεια που προσδίδουν οι ίδιες οι πλατφόρμες/λειτουργικά, όπως το αν το iOS στέλνει πληροφορίες σχετικά με την περιοχή στην οποία βρίσκεται ο χρήστης – και συχνά αμελεί να εξετάσει το τι πληροφορίες στέλνουν οι διάφορες εφαρμογές (όπως το δημοφιλές Angry Birds) σε τρίτους ή και σε black hat οργανισμούς και δίκτυα.

Παλιότερα, όταν πρωτοεμφανίστηκε το πρώτο malwareapp ευρέως φάσματος στο Android, θυμάμαι ότι η Google κινητοποιήθηκε άμεσα, εξαφανίζοντας απομακρυσμένα την εφαρμογή από όλες τις συσκευές που είχαν πληγεί. Σκεφτόμουν, τότε, ότι αυτό είναι ένα τέλειο παράδειγμα του ελέγχου που θα μπορούσε να ασκήσει η εταιρία ανάπτυξης του λειτουργικού συστήματος πάνω στα κινητά των χρηστών, χωρίς τη συγκατάθεση του χρήστη. Η Google και οι άλλες εταιρείες λογισμικού μπορούν να εγκαταστήσουν ή να απεγκαταστήσουν ό,τι θέλουν από τις συσκευές των χρηστών – κάτι το οποίο είναι ακόμα πιο εύκολο σε ‘κλειστά’ συστήματα, όπως το iOS και τα Windows Phone.

Αυτό σημαίνει πως ένας κυβερνητικός οργανισμός μπορεί να αποκτήσει πρόσβαση στα δεδομένα μία ομάδας χρηστών ή και ενός μεμονωμένου χρήστη, ανεξαρτήτως από το επίπεδο ασφάλειας του λειτουργικού συστήματος καθεαυτού. Το μόνο που χρειάζεται είναι η συνεργασία των ίδιων των εταιρειών: της Apple, της Google, της Microsoft κτλ.

Το γεγονός ότι ένα λειτουργικό σύστημα μπορεί να θεωρείται ασφαλές, δε σημαίνει ότι και τα δεδομένα που είναι αποθηκευμένα μέσα σε αυτό είναι ασφαλή υπό οποιεσδήποτε συνθήκες – ούτε σημαίνει πως η σύνδεση με εξωτερικές υπηρεσίες (π.χ. διαδικτυακές υπηρεσίες) και άλλες εφαρμογές είναι ασφαλής. Άπαξ και ο χρήστης εγκαταστήσει μία εφαρμογή – η οποία αποκτά πρόσβαση σε διάφορα δεδομένα – η χρήση της συσκευής μπορεί να μην είναι πλέον ασφαλής, είτε αυτή είναι η πρόθεση του δημιουργού της εφαρμογής, είτε όχι.

Η ασφάλεια μέσω appcuration κι άλλοι μύθοι

Πολλές εταιρείες, όπως η Apple κι η Nokia (τώρα Microsoft), χρησιμοποιούν app curation στα app store τους, δηλαδή διερευνούν αν οι εφαρμογές που ανεβάζουν οι developers είναι ασφαλείς ή αν είναι malware. Το να θεωρήσει κάποιος ότι αυτή η διαδικασία παρέχει απόλυτη ασφάλεια είναι μάλλον αφελές. Σε ένα διάσημο, πλέον, παράδειγμα, το app curation της Apple παρεκάμφθη απλά και μόνο από την πρόσθεση ενός σχολίου στον κώδικα.

Η εφαρμογή ήταν ένα malware, το οποίο ‘έκλεβε’ όλες τις επαφές του χρήστη, αλλά πέρασε από τη διαδικασία του appcuration μόνο και μόνο επειδή ο developer είχε προσθέσει ένα σχόλιο στο επίμαχο κομμάτι κώδικα, το οποίο ανέφερε πως η χρήση της λειτουργίας αυτής ήταν το backingup των δεδομένων αυτών στο Cloud. Οι εταιρείες μπορεί να ισχυρίζονται ότι προστατεύουν τους χρήστες μέσω του curation – αλλά στην πραγματικότητα μπορούν να εντοπίσουν και να εξουδετερώσουν μόνο τις malwareεφαρμογές που είναι γραμμένες από τους λεγόμενους “scriptkiddies”, δηλαδή νεόφυτους hackers που ακολουθούν τις πιο απλές μεθόδους.

Ακόμα και σε περιπτώσεις που μία εφαρμογή δεν έχει κατασκευαστεί με δόλιο σκοπό και είναι από μία αξιόπιστη εταιρεία του χώρου, το πρόβλημα της ασφάλειας παραμένει. Κατά τη διάρκεια penetration tests που έχουμε υλοποιήσει στο παρελθόν, έχουμε βρει εταιρικές (enterprise) εφαρμογές οι οποίες επιτρέπουν στον ένα χρήστη να βλέπει τις επαφές του άλλου ή και να στέλνει email με το όνομα του CEO της εταιρείας!

Αυτό δε συμβαίνει απαραίτητα λόγω δόλου αλλά, συνήθως, λόγω ελλιπούς γνώσης πρακτικών ασφάλειας όσον αφορά στην ανάπτυξη εφαρμογών (σ.σ It’s not a bug It’s a feature)

Αληθεύει ότι το Android είναι η πιο πρόσφορη πλατφόρμα για τον εντοπισμό αδυναμιών σε εφαρμογές από pentesters, λόγω της «ανοιχτής» φιλοσοφίας της πλατφόρμας. Συνήθως κοιτάμε πρώτα για αδυναμίες στην έκδοση Android μιας εφαρμογής.

Παρόλα αυτά, οι ίδιες αδυναμίες που εντοπίζουμε, είναι πιθανόν να υπάρχουν και σε άλλες εκδόσεις της εφαρμογής, όπως για iOS και Windows. Παρότι ίσως να να απαιτείται περισσότερος χρόνος, αυτό δεν σημαίνει ότι οι αδυναμίες δεν μπορούν να εντοπιστούν.

Τέλος, δεν πρέπει να ξεχνάμε το μεγάλο αριθμό από jailbroken/rooted συσκευές που κυκλοφορούν στην αγορά, των οποίων οι χρήστες έχουν παρακάμψει τις προεγκατεστημένες δικλείδες ασφαλείας του λειτουργικού συστήματος, για να μπορούν να κατεβάζουν πιο εύκολα ‘πειρατικό’ υλικό ή να χρησιμοποιούν διαφορετικά το hardware της συσκευής. Το πρόβλημα, όμως, είναι ότι κατά αυτό τον τρόπο αφήνουν τις συσκευές τους πλήρως εκτεθειμένες στις ορέξεις των διάφορων επιτήδειων!

Η εκπαίδευση των χρηστών απαραίτητο στοιχείο της ασφάλειας

Το λειτουργικό και οι εγκατεστημένες εφαρμογές αποτελούν αλληλένδετα κομμάτια της ασφάλειας των κινητών τηλεφώνων. Χωρίς το ένα, το άλλο είναι αναποτελεσματικό και πηγή πιθανών κινδύνων όσον αφορά στην ασφάλεια.

Οι χρήστες θα πρέπει να σταματήσουν να ασχολούνται αποκλειστικά με την ασφάλεια του λειτουργικού συστήματος της συσκευής τους και να εντρυφήσουν στις βασικές αρχές ασφάλειας, για να προστατέψουν τις συσκευές τους και τα δεδομένα τους. Οι τομείς στους οποίους θα πρέπει να επικεντρωθεί η εκπαίδευση των χρηστών αφορά στην εμπιστοσύνη που δείχνουν σε μία εφαρμογή από κάποιον άγνωστο developer, έχοντας υπόψη ότι μπορεί

α) να έχει δόλιους σκοπούς και η εφαρμογή να είναι malware και

β) να μην έχει τηρήσει τις προδιαγραφές ασφαλείας αναπτύσσοντας την εφαρμογή.

Ένας άλλος βασικός παράγοντας τον οποίο θα πρέπει να μάθουν οι χρήστες είναι το θέμα των ‘δικαιωμάτων’ της εφαρμογής (permissions). Όταν εγκαθιστούν μία εφαρμογή, εμφανίζεται η λίστα με τις πληροφορίες και τις λειτουργίες της συσκευής στις οποίες θα αποκτήσει πρόσβαση η εφαρμογή (π.χ. επαφές, μηνύματα κτλ). Οι χρήστες θα πρέπει να ελέγχουν κατά πόσο η κάθε εφαρμογή έχει λόγο να αποκτά πρόσβαση σε αυτές τις πληροφορίες ή/και τις λειτουργίες

Κατανοώ πως αυτές οι ερωτήσεις μπορεί να κάνουν τους χρήστες υπερβολικά διστακτικούς και να μειώσουν τα downloads των εφαρμογών, βάζοντας ένα εμπόδιο στην άνοδο της αγοράς αυτής. Αυτή η διαπίστωση μας φέρνει στο τελευταίο κομμάτι του παζλ – τι μπορούν να κάνουν οι κατασκευάστριες εταιρείες ή οι εταιρείες που φτιάχνουν λογισμικό για να βελτιώσουν την κατάσταση.

Τι μπορούν να κάνουν οι κατασκευάστριες εταιρείες για να βελτιώσουν την ασφάλεια των εφαρμογών?

Μία μέθοδος για τις εταιρείες που έχουν κάποιο online app store ή marketplace θα μπορούσε να είναι η εισαγωγή κριτηρίων επιλογής για τους developers/δημιουργούς εφαρμογών, διερευνώντας αν αναπτύσσουν εφαρμογές επώνυμα (π.χ. έλεγχος ταυτότητας μέσω τραπεζικού λογαριασμού) κι αν έχουν δημοσιεύσει ασφαλείς εφαρμογές στο παρελθόν. Κατά αυτό τον τρόπο, οι χρήστες θα γνωρίζουν σε ποιον πρέπει να απευθυνθούν σε περίπτωση που υπάρχει πρόβλημα ασφαλείας στην εφαρμογή τους. Ένα app store το οποίο ακολουθεί τέτοιου είδους πρακτικές, είτε το app store είναι το ‘επίσημο’ της κατασκευάστριας εταιρείας είτε ανεξάρτητο (π.χ. το Cydia), θα μπορούσε να προσελκύσει όλους αυτούς τους χρήστες που ενδιαφέρονται για την ασφάλεια των εφαρμογών τους.

Παράλληλα, οι κατασκευάστριες εταιρείες ή και οι πάροχοι κινητής τηλεφωνίας θα μπορούσαν να φροντίζουν για την ενημέρωση των χρηστών σχετικά με την ασφάλεια των εφαρμογών. Όπως προανέφερα, πολλοί χρήστες δεν κοιτάνε τι permissions ζητάει η κάθε εφαρμογή κατά την εγκατάστασή της, γεγονός το οποίο αποτελεί πηγή κινδύνου ακόμα και για τα πιο ασφαλή λειτουργικά συστήματα. Η σωστή ενημέρωση των χρηστών θα βοηθήσει πολύ στην καταπολέμηση του malware στην κινητή τηλεφωνία.

Εν κατακλείδι, η ασφάλεια στον τομέα της κινητής τηλεφωνίας – όπως και σε οποιοδήποτε πολυμορφικό ICT (Information and Communication Technology) σύστημα – θα πρέπει να βασίζεται σε σωστές πρακτικές από την πλευρά των κατασκευαστών, αλλά και της ενημέρωσης των ίδιων των χρηστών.
Tromaktiko
ΦΩΤΟΓΡΑΦΙΕΣ
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΣΧΟΛΙΑΣΤΕ
ΑΚΟΛΟΥΘΗΣΤΕ ΤΟ NEWSNOWGR.COM
ΣΧΕΤΙΚΑ ΑΡΘΡΑ
ΠΡΟΗΓΟΥΜΕΝΑ ΑΡΘΡΑ