V ohrožení jsou osobní informace milionů uživatelů.
Bezpečnostní firma Lookout vydala varování před více než osmdesáti aplikacemi na správu tapet plochy. Konkrétně jde o programy nahrané na Android Market pod přezdívkami jackeey,wallpaper (později změněna na callmejack) a IceskYsl@1sters!, které podle zjištění sbíraly osobní data a odesílaly je skrze Internet. Programy od jackeey,wallpaper si přitom stáhlo 1,1 až 4,6 milionů uživatelů (přesné číslo není známo, neboť Android Market tento údaj neposkytuje). Jednalo se o aplikace na správu obrázků pozadí plochy, nabízející například tapety My Little Pony, Star Wars a další populární témata.
Podle dostupných údajů měly aplikace shromažďovat informace o telefonním čísle SIM karty, identifikaci uživatele (IMSI – International Mobile Subscriber Identity) a heslu k hlasové schránce, pokud bylo uloženo v telefonu, a následně je odesílat skrze nešifrované spojení na server v provincii Shenzhen v Číně. Původní informace dokonce mluvily o vytahování obsahu SMS zpráv a historie procházení Internetu, nicméně Lookout později tuto zprávu dementoval. Ačkoli je takové počínání od aplikace na správu tapet přinejmenším podezřele, nejsou v tuto chvíli známy žádné důkazy o zneužití získaných dat.
Uživatelé přitom byli během instalace varováni integrovaným bezpečnostním mechanismem Androidu, že aplikace vyžaduje přístup k některým podezřelým funkcím. Je ale velmi pravděpodobné, že většina uživatelů se nad smysluplností takového požadavku ani nezamyslela a automaticky ho potvrdila.
Lookout na problém přišel díky projektu App Genome Project, v jehož rámci otestoval chování stovky tisíc freewarových programů pro Android a iPhone. Zjistil přitom, že aplikace vyžadují přístup k osobním údajům v telefonu poměrně často. V případě Androidu toto musí povolit uživatel, u iPhonů, kde schvaluje aplikace Apple, není povolení ze strany uživatele vyžadováno.
Problém může být také s aplikacemi, využívajícími části programového kódu třetích stran – například pro zobrazování reklamních sdělení. Autoři často zahrnují tyto funkce do svých programů, aniž by přitom přesně věděli, co ten či onen objekt přesně dělá. Zejména v případě adware je k zneužití osobních údajů poměrně dobrý důvod – například pro cílení reklamy podle aktuální polohy uživatele.
“Znamená to, že aplikace, které vypadají korektně, ale ve skutečnosti kradou vaše osobní informace, jsou nyní, kdy mobilní aplikace zažívají explozi na smartphonech, velkým rizikem,” řekl ve středečním projevu na bezpečnostní konferenci Black Hat v Los Angeles generální ředitel Lookoutu Kevin MaHaffey. Uživatelé by tak měli dávat velký pozor na to, co do svého telefonu stahují a instalují, protože i původně korektní aplikaci lze přeprogramovat na škodlivou a nabídnout uživatelům ke stažení. Základním bezpečnostním opatřením by tak měla být zvýšená pozornost během instalace, důsledná kontrola služeb, jež chce aplikace využívat a přečtení komentářů ostatních uživatelů na Android Marketu. Podobné riziko přitom nehrozí jen na platformě Android, ale prakticky na všech “chytrých telefonech,” na které může uživatel stahovat a instalovat aplikace, včetně operačních systémů Blackberry, Symbianu a iPhonu.
Zdroj: Mobile Beat, The Register a Blog Lookout.
0 komentářů