Πέμπτη, 19 Μαΐου 2011

Κενό ασφαλείας στο Android. Πόσο σοβαρό είναι και τι σημαίνει για μας τους απλούς χρήστες;


Τις τελευταίες μέρες έχει προκύψει ένα θέμα ασφαλείας στο Android που έχει λάβει τεράστια έκταση. Θα ήθελα να εξετάσουμε κατά πόσο μας επηρεάζει το θέμα ή όχι στην καθημερινή μας ζωή.

Κατ’αρχάς να ξεκαθαρίσουμε οτι από την πρώτη μέρα που εμφανίστηκαν οι ηλεκτρονικοί υπολογιστές, είχαν έχουν και θα έχουν κενά ασφαλείας. Είναι αναγκαίο κακό! Η φράση “Ότι κλειδώνει, ξεκλειδώνει”, δε βγήκε τυχαία. Άνθρωποι με γνώσεις δημιουργούν τις σουίτες ασφαλείας και άνθρωποι με τις ίδιες γνώσεις τις ξεκλειδώνουν.

Το 90% του πλανήτη χρησιμοποιεί τα Windows της Microsoft που βομβαρδίζονται καθημερινά με τους όποιους ιούς και καταγραφείς, αλλά δεν είδα να το γυρνάει ο κόσμος μαζικά στο πιο ασφαλές λειτουργικό, το Linux (στο οποίο ανήκει και το Android). Δεν είναι τυχαίο επίσης οτι το 95% των server παγκοσμίως (σχεδόν όλο το ίντερνετ) τρέχει πάνω σε Linux. Θυμηθείτε οτι από τον υπολογιστή σας χειρίζεστε τις online αγορές σας και τους τραπεζικούς λογαριασμούς σας. Γιατί λοιπόν, είμαστε τόσο επιλεκτικοί στο θέμα της ασφάλειας; Κοιμόμαστε με την πόρτα κλειδωμένη στο σπίτι μας, στο οποίο αν μπει κάποιος κλέφτης, το πολύ πολύ να πάρει 100€, ενώ αφήνουμε τα “παράθυρα” (windows) ανοιχτά και θέτουμε σε κίνδυνο το όποιο κομπόδεμα έχουμε στο λογαριασμό της τράπεζας.

Αυτά συμβαίνουν για δύο λόγους:
Πρώτον, ο κόσμος ξεχνάει, διότι έχει τόσα πολλά προβλήματα που δεν μπορεί να χωρέσει άλλα στο μυαλό του και δεύτερον, η δύναμη της συνήθειας που μας αποτρέπει να φύγουμε από τη Nokia ή από τα Windows και ας υπάρχουν καλύτερες εναλλακτικές.

Πρόσφατο παράδειγμα, η καταγραφή τοποθεσίας στο iOS της Apple. Ξέρετε πού κατέληξε η υπόθεση; Οτι ναι μεν συμβαίνει αυτό στο iPhone αλλά συμβαίνει και στο Android. Δε μας έλυσαν το πρόβλημα, αλλά μας είπαν οτι είναι αναγκαίο κακό και οτι το κάνουν όλοι. Κανείς δεν είπε όμως οτι στο Android μπορείς να το απενεργοποιήσεις και όταν το ενεργοποιείς σε ενημερώνει οτι “από δω και μπρος φιλαράκο καταγράφω την τοποθεσία σου”. Τα θυμάται κανείς αυτά σήμερα; Υφίστανται ακόμα. Δε λύθηκαν.

Άλλο ένα παράδειγμα το PS3. Η Sony καυχιόταν για χρόνια οτι έχει φτιάξει μια απροσπέλαστη από χάκερ συσκευή και σήμερα είναι η εταιρία που έχει χάσει περί τα 10.000.000 αριθμούς πιστωτικών καρτών των πελατών της. Όταν τους ζήτησα να διαγράψουν το λογαριασμό μου από το PSN ξέρετε τι μου απάντησαν; Οτι δεν μπορώ να διαγραφώ και οτι θα μου κάνουν μερικά δωράκια και να μην ανησυχώ. Τι να τα κάνω τα δωράκια όταν θα μου έχουν κλέψει τα λεφτα από την τράπεζα;

ΤΕΡΑΣΤΙΑ ΥΠΟΚΡΙΣΙΑ ΑΠΟ ΟΛΟΥΣ !!!

Πάμε λοιπόν στο θέμα μας και ζητώ συγνώμη για τον πρόλογο. Το πρόβλημα στο Android είναι μεγάλο, αλλά υπάρχουν και κάποιες προϋποθέσεις. Δεν πρέπει να ψαρώνουμε από τα πομπώδη νούμερα του 99.7% αλλά να δούμε πρακτικά τον κίνδυνο.

Για να σας κλέψουν τα δεδομένα από τη συσκευή σας χρειάζονται πάνω κάτω τα παρακάτω:
  • Να έχετε ενεργοποιημένο τον αυτόματο συγχρονισμό δεδομένων
  • Να συνδεθείτε σε ένα οποιοδήποτε ελεύθερο wifi
  • Ο ιδιοκτήτης του wifi να είναι και χάκερ και απατεώνας
  • Να συνδεθεί ταυτόχρονα με εσάς και να τρέξει το όποιο πρόγραμμα χρειάζεται για να σας κλέψει τα δεδομένα
  • Να διαθέτει πιθανότατα Linux στον υπολογιστή του, γιατί αυτές οι δουλειές μέσω αυτού γίνονται κατά κύριο λόγο
  • και άλλα
Δεν ακούγεται λίγο απίθανο να συμπέσουν όλα αυτά ταυτόχρονα; Έτσι νομίζω εγώ και δεν ανησυχώ. Kλείνοντας θέλω να πω οτι το πρόβλημα υφίσταται αλλά δε θα πεθάνουμε κιόλας. Οι προϋποθέσεις κλοπής είναι ελάχιστες. Και να εξυμνήσω και πάλι την αξία του rooting το οποίο μου έδωσε τη δυνατότητα να φοράω στο κινητό μου την έκδοση 2.3.4 και να ανήκω στο 0,3% που δεν κινδυνεύουν.

Ευχαριστώ για την ανάγνωση!

20 στο: "Κενό ασφαλείας στο Android. Πόσο σοβαρό είναι και τι σημαίνει για μας τους απλούς χρήστες;"
  1. Φίλε φοβερό το θέμα και ευαίσθητο αλλά κορυφαίος ο τρόπος προσέγγισής που έκανες ! Μπράβο !

    ΑπάντησηΔιαγραφή
  2.  βλέπουν ότι το android θα καταστρέψει αυτούς που κυνηγάνε πάντα το χρήμα και αρχίζουν να βγάζουν φήμες......
    πότε θα παραδεχτούν ότι δεν θα καταφέρουν να περάσουν το opensource?

    ΑπάντησηΔιαγραφή
  3. Κι' οσο πλησιαζει η εποχη που θα κυκλοφορησει το μικροσοφτικο λειτουργικο για κινητα, μετα την εξαγορα (επειδη αυτο συνεβη)και της Nokia, θα ακουστουν παααααρα πολλα.
    Κι' εμενα μου αρεσε η καλυψη του θεματος, παντως....

    ΑπάντησηΔιαγραφή
  4. Εντάξει και η Google δεν είναι η μαμάκα μας που μας αγαπάει και δεν κοιτάει το κέρδος. Όμως το ότι το Android είναι open source είναι ένα βήμα. Κάτι λέει.

    ΑπάντησηΔιαγραφή
  5.  Καλησπέρα, μπορείς να δώσεις λίγες πληροφορίες  παραπάνω για το εξής : "Κανείς δεν είπε όμως οτι στο Android μπορείς να το απενεργοποιήσεις και όταν το ενεργοποιείς σε ενημερώνει οτι “από δω και μπρος φιλαράκο καταγράφω την τοποθεσία σου ". Πώς γίνεται αυτό;

    ΑπάντησηΔιαγραφή
  6. Πήγαινε "Ρυθμίσεις" -> "Τοποθεσία και Ασφάλεια" και τσέκαρε το "Χρήση ασύρματων δικτύων".

    Θα σου βγάλει αυτό που βλέπεις στην εικόνα παρακάτω.

    ΑπάντησηΔιαγραφή
  7.  Να τονίσουμε πως για να γίνει αυτό, ο χρήστης πρέπει να κάνει κάποια λάθη. Είναι γνωστό πως όταν συνδεέσαι από κάποιο ξένο/ανοιχτό wifi απαγορεύεται δια ροπάλου να συνδεθείς με το mail/paypal κ.ο.κ. 

    Σας αφήνω με δύο σχόλια:
    1. Δεν υπάρχει φάρμακο για την βλακεία. (Κακιούλα, το ξέρω :-P )
    2. Αυτό ήταν το πρώτο πράγμα που μας είπε ο καθηγητής μας στην σχολή, στο μάθημα Ασφάλεια Πληροφοριακών & Επικοινωνιακών Συστημάτων: "Το σημαντικότερο που πρέπει να ξέρετε για την ασφάλεια συστημάτων είναι ότι τίποτα και ποτέ δεν πρόκειται να είναι 100% ασφαλές."

    ΑπάντησηΔιαγραφή
  8.  Το μόνο που θα προσθέσω είναι αυτό που είχε πει ο ένας απο τους μεγαλύτερους Hacker, Kevin Mitnick:

    "Όλοι λένε οτι ο υπολογιστής είναι ασφαλής όσο είναι κλειστός και εκτός ρεύματος..... καλά δώστε μου εσείς στο τηλέφωνο αυτόν που κάθεται μπροστά σε αυτόν τον ανενεργό υπολογιστή και θα δείτε πόσο απλό είναι να τον κάνω να τον ανοίξει και να τον συνδέσει στο δίκτυο "

    ΑπάντησηΔιαγραφή
  9. Εσύ πρέπει να αρχίσεις να βγάζεις τα δικά σου μότο γιατί ανήκεις στη συνομοταξία του Mitnick.


    Να λέμε αύριο μεθαύριο: "Ο μεγάλος Έλληνας χάκερ Salih είπε κάποτε..."

    ΑπάντησηΔιαγραφή
  10. εγώ έχω Android 2.2 αλλά τροποποιημένη έκδοση για το Lenovo Lephone(LeOs2.0) πήγα στο security and location settings και μου έβγαζε για Use GPS satellites αυτό είναι; 

    ΑπάντησηΔιαγραφή
  11.  ωραία άρθρο αλλά δεν είπες και το σημαντικότερο.... να προσέχουμε τι εφαρμογές κατεβάζουμε..... δεν είναι σαν το Linux και τα αποθετήρια του.

    ΑπάντησηΔιαγραφή
  12. Μπράβο Ορέστη για την επισήμανση. 

    Εννοείται οτι πρέπει να προσέχουμε. Το λιγότερο που μπορούμε να κάνουμε είναι να κατεβάζουμε μόνο από το Market και να προσέχουμε που ζητάει πρόσβαση η κάθε εφαρμογή.

    ΑπάντησηΔιαγραφή
  13. Είναι η επιλογή πάνω από το GPS. Δεν το θυμάμαι στα αγγλικά. 

    ΑπάντησηΔιαγραφή
  14. δεν έχει επιλογή πάνω από το GPS... 

    ΑπάντησηΔιαγραφή
  15.  Τώρα το ξαναβλέπω, πάνω από το "Use GPS Satellites" πρέπει να έχει "Use wireless networks".

    Αν όχι τότε μάλλον η Lenovo έχει αφαιρέσει την επιλογή.

    ΑπάντησηΔιαγραφή
  16. αν κατεβάσω ROM για άλλο κινητό λες να δουλέψει στο δικό μου;

    ΑπάντησηΔιαγραφή
  17. Δύσκολα. Ενδέχεται να bootάρει αλλά δε θα δουλεύουν κάποιες συσκευές (BT, Wifi κλπ). Επίσης η ανάλυση οθόνης δε θα είναι ίδια.

    ΑπάντησηΔιαγραφή
  18. [...] της συσκευής σας. Μετά την άποψη που καταθέσαμε περί προστασίας από κλοπή δεδομένων, αλλά και το review μερικών anti-virus, μας ζητήθηκε από πολύ [...]

    ΑπάντησηΔιαγραφή