.

Άποψη: Η άγνοια είναι η μεγαλύτερη αιτία προβλημάτων ασφαλείας στο Android


 

Διαβάζω καθημερινά πολλά άρθρα και έρευνες σχετικά με το Android και την ασφάλεια που παρέχει στους χρήστες του, τα οποία τις περισσότερες φορές είναι αρνητικά και κατακεραυνώνουν το αγαπημένο μας λειτουργικό σύστημα. Τα άρθρα αυτά είναι 100% αληθή και σωστά, όμως σε κανένα δε διάβασα ότι ο μεγαλύτερος παράγοντας που μπορεί να παρακάμψει την ασφάλεια της συσκευής μας είμαστε εμείς οι ίδιοι και ορίστε το γιατί.

Τα προσωπικά μας δεδομένα τα οποία καλούμαστε να προστατεύσουμε, αποθηκεύονται σε δύο μέρη:

  • τοπικά στη συσκευή μας ή
  • σε κάποιον server στο ίντερνετ,

έχουν όμως ένα κοινό σημείο. Είναι δικά μας και δεν έχει κανένας δικαίωμα να τα μοιραστεί χωρίς την άδειά μας. Πρέπει λοιπόν να γνωρίζουμε το λειτουργικό μας σύστημα και να δίνουμε σημασία στις προειδοποιήσεις που μας εμφανίζει, αλλά και να έχουμε εμπιστοσύνη στην cloud υπηρεσία την οποία προτιμάμε για να αποθηκεύσουμε online τα δεδομένα μας. Ας τα πάρουμε όμως με τη σειρά.

Ότι κλειδώνει, ξεκλειδώνει!

Αυτή η φράση είναι ένας από τους μεγάλους κανόνες στο χώρο της τεχνολογίας και για να το πούμε πιο απλά, όταν μία πόρτα έχει κλειδαρότρυπα αρκεί να βρεις το σωστό κλειδί ή να φτιάξεις το δικό σου κλειδί για να την ξεκλειδώσεις. Τόσο απλά είναι τα πράγματα στον ψηφιακό κόσμο. Όσες εταιρίες προσπάθησαν να κλειδώσουν ψηφιακά τα προϊόντα τους (βλ. PS3, iPhone), αργά ή γρήγορα βρέθηκε τρόπος να ξεκλειδωθούν είτε επειδή τα κλειδιά διέρρευσαν στο ίντερνετ, είτε μέσω της μεθόδου του reverse engineering. Πρέπει λοιπόν το λειτουργικό μας σύστημα να είναι έτοιμο για οποιαδήποτε επίθεση χρειαστεί να αντιμετωπίσει και το Android έχει μία πολύ μεγάλη δικλείδα ασφαλείας καθώς βασίζεται στο Linux.

Το Linux είναι μέρος της ασφάλειας

Το Linux είναι το πιο ασφαλές λογισμικό στον κόσμο και τα λειτουργικά συστήματα που βασίζονται σε αυτό, κληρονομούν αυτόματα αυτό το χαρακτηριστικό. Ένας λόγος είναι το γεγονός ότι δε φτιάχνονται πολλά κακόβουλα λογισμικά για να το πλήξουν σε σχέση με τα άλλα συστήματα και αυτό γιατί:

  • δεν ανήκει σε κάποια εταιρία που το εκμεταλλεύεται εμπορικά οπότε το θέμα είναι ιδεολογικό,
  • είναι ένα project ανοιχτού κώδικα το οποίο ελέγχουν εκατομμύρια χρήστες παγκοσμίως για σφάλματα και τρύπες ασφαλείας,
  • όσο τα Windows κατέχουν το μεγαλύτερο ποσοστό, τόσο περισσότερο θα στοχεύονται.

Αυτό όμως άρχισε να αλλάζει με το Android που κατέχει ποσοστά στην κατηγορία των smartphone, αντίστοιχα με τα Windows στους υπολογιστές. Δημιουργήθηκαν λοιπόν ένα σωρό κακόβουλα λογισμικά τα οποία όμως λόγω της συγγένειας του Android με το Linux, δεν μπορούν να δράσουν αν δεν βάλουμε εμείς το χεράκι μας.


Ο root χρήστης είναι το κλειδί

Στο Linux, άρα και στο Android, ο λογαριασμός χρήστη που δημιουργούμε δεν έχει δικαιώματα διαχειριστή. Αυτό σημαίνει ότι όταν χρησιμοποιούμε το κινητό μας, δεν μπορούμε να διαγράψουμε ή να μεταποιήσουμε συγκεκριμένα μέρη του συστήματος και έτσι ακόμα και αν ένας "ιός" εισχωρήσει στο σύστημα δεν μπορεί να κάνει κακό στη συσκευή μας. Το μόνο που θα μπορούσαμε να χάσουμε είναι τα δεδομένα που έχουμε στα "ξεκλείδωτα" μέρη της συσκευής όπως το sdcard, το data partition και η φυσική SD κάρτα της συσκευής. Για να διαγράψει όμως ένας "ιός" αρχεία του συστήματος θα πρέπει πρώτα να εγκατασταθεί, πράγμα που ΔΕ γίνεται αν δεν το κάνουμε εμείς, μόνοι μας.


Ο ρόλος των εφαρμογών

Ερχόμαστε λοιπόν στο μοναδικό πράγμα που μπορούμε να εγκαταστήσουμε στο Android και αυτό είναι οι εφαρμογές, οι οποίες στον κώδικά τους μπορεί να κρύβουν κακόβουλο περιεχόμενο και το χειρότερο από όλα είναι το spyware. Μία εφαρμογή μπορεί να παρακολουθεί την τοποθεσία μας, τις κλήσεις μας και όλα όσα κάνουμε με τη συσκευή μας και να τα στέλνει σε ένα server από όπου μας παρακολουθούν.

Μπορούμε να προστατευθούμε; Βεβαίως! Επιλέγοντας εφαρμογές μόνο από το Play Store που είναι και το μοναδικό μαγαζάκι με σοβαρά μέτρα ασφαλείας, οι οποίες ταυτόχρονα έχουν πολλά download και υψηλή βαθμολογία, είμαστε 99% καλυμμένοι.  Σίγουρα κυκλοφορούν και εκεί "περίεργες" εφαρμογές αλλά αν προσέξουμε τα παραπάνω είναι σίγουρο ότι θα τις αποφύγουμε.

Μία άλλη λύση είναι η επιλογή εφαρμογών ανοιχτού κώδικα. Αυτές οι εφαρμογές είναι επίσης ασφαλείς καθώς ο κώδικάς τους είναι διαθέσιμος σε οποιονδήποτε θέλει να τον ελέγξει και σίγουρα κάποιος το έχει κάνει αυτό πριν από εμάς. Ένα πολύ χρήσιμο εργαλείο εύρεσης αυτών των εφαρμογών είναι το F-Droid το οποίο περιλαμβάνει μόνο δωρεάν και ανοιχτού κώδικα εφαρμογές.


Τι γίνεται αν έχω κάνει root;

Ας πούμε όμως ότι καταφέραμε να εγκαταστήσουμε μία κακόβουλη εφαρμογή και έχουμε κάνει root στη συσκευή μας, αυτό σημαίνει ότι είμαστε λιγότερο προστατευμένοι; Όχι! Ακόμα και αν έχεις κάνει root, συνεχίζεις να μη λειτουργείς τη συσκευή σου ως διαχειριστής. Όταν μία εφαρμογή θελήσει να κάνει πράγματα που απαιτούν αυξημένα δικαιώματα, η εφαρμογή Superuser ή SuperSU θα εμφανίσει στην οθόνη το γνωστό παράθυρο ρωτώντας μας αν το εγκρίνουμε. Αν και εκεί πατήσεις "Χορήγησε" φίλε αναγνώστη, είσαι άξιος της μοίρας σου.


Έχω την υποψία ότι κάτι συμβαίνει!

Συνεχίζουμε λοιπόν στο σενάριο ότι μία τέτοια εφαρμογή εγκαταστάθηκε από απροσεξία στο κινητό μας. Η εφαρμογή αυτή μπορεί να κάνει κυρίως δύο πράγματα:

  • να προσπαθήσει να αχρηστεύσει άμεσα τη συσκευή διαγράφοντας τα πάντα ή
  • να κρυφτεί και να μας παρακολουθεί χωρίς να το ξέρουμε.

Όσον αφορά το πρώτο θα το καταλάβετε πιστέψτε με, για το δεύτερο όμως θα πρέπει να παρατηρήσουμε τη συσκευή μας λίγο περισσότερο. Μία τέτοια εφαρμογή θα πρέπει να λειτουργεί συνέχεια στο παρασκήνιο άρα να καταναλώνει μπαταρία και να ζεσταίνει χωρίς λόγο τη συσκευή. Θα πρέπει επίσης να επικοινωνεί με έναν server για να στέλνει τα δεδομένα μας εκεί, άρα θα καταναλώνει και τη σύνδεση στο ίντερνετ. Δόξα τω Θεώ το Android μας δίνει από μόνο του τα εργαλεία για να κάνουμε αυτή την παρατήρηση, πηγαίνοντας στις ρυθμίσεις και βλέποντας τα δύο μενού.


Με τα δεδομένα μου στο cloud τι γίνεται;

Ερχόμαστε λοιπόν και στα δεδομένα που αποθηκεύονται σε server και όχι στη συσκευή μας. Όπως όλοι οι υπολογιστές, έτσι και οι server γνωστών εταιριών κινδυνεύουν ανά πάσα στιγμή με επιθέσεις, κυρίως γιατί εκεί αποθηκεύονται μαζικά, προσωπικά δεδομένα πολλών χρηστών τα οποία πολλές φορές περιέχουν και πληροφορίες πιστωτικών καρτών. Την τελευταία χρονιά μόνο το Dropbox, το Kickstarter, το PSN και οι server του Ubuntu έχασαν δεδομένα χρηστών με αποτέλεσμα να χάνουμε και εμείς σιγά σιγά την εμπιστοσύνη σε αυτούς. Προσωπικά το σκεπτικό μου έχεις ως εξής: Βρίσκεις μία εταιρία που έχει τα λιγότερα προβλήματα ασφαλείας, η οποία ταυτόχρονα προσφέρει τις περισσότερες υπηρεσίες με έναν και μόνο κωδικό. Μία επιλογή είναι η Google καθώς όχι μόνο δεν έχει δώσει δικαιώματα παραβίασης των server της αλλά προσφέρει και την υπηρεσία Επαληθευτής Google, με την οποία είμαστε σίγουροι ότι κανένας δεν μπορεί να μπει στο λογαριασμό μας ακόμα και αν κλαπεί ο κωδικός μας.

Ένα ακόμη πρόβλημα των cloud υπηρεσιών είναι οι μακροσκελείς "Όροι χρήσης" οι οποίοι μπορεί να κρύβουν παγίδες για τα δεδομένα μας. Προς Θεού δε θα σας πω να αρχίσετε να τους διαβάζετε, ούτε και εγώ έχω διαβάσει ποτέ κανέναν. Η Google όμως είναι η μοναδική εταιρία που έχει κατασκευάσει για εμάς τον Πίνακα Ελέγχου, μία "εύκολη" σελίδα στην οποία μπορούμε να δούμε τι κρατάει για εμάς στους server της και να διαχειριστούμε τα δεδομένα μας.


Ναι αλλά και η Google μας παρακολουθεί

Η άποψη ότι η Google μας παρακολουθεί και εμείς οι κακομοίρηδες δεν μπορούμε να κάνουμε τίποτα για αυτό, είναι κατά τη γνώμη μου η μισή αλήθεια. Συμφωνούμε ότι η Google είναι μία εταιρία πληροφοριών και θα κάνει το παν για να αποκτήσει τις πληροφορίες που θέλει, δε θα το κάνει όμως χωρίς να πάρει την άδειά μας. Φυσικά δε μιλάμε για προσωπικές πληροφορίες, για παράδειγμα αν ρωτήσεις στο Google "τι ώρα κοιμάται ο Chris K" ή "ποια είναι η γυναίκα του;" δε θα σου απαντήσει γιατί δεν το ξέρει.

Η Google είναι μία εταιρία λοιπόν σαν όλες τις άλλες που προσφέρει προϊόντα τα οποία ΑΝ θες χρησιμοποιείς. Θα μου πείτε "έγινε φίλε, αλλά αγοράζοντας μία Android συσκευή τα προϊόντα αυτά είναι προεγκατεστημένα". Ξαναλέω λοιπόν, ΑΝ θες τα χρησιμοποιείς. Το Android διαθέτει μία επιλογή που λέγεται "Απενεργοποίηση", με την οποία απενεργοποιούμε όποια προεγκατεστημένη εφαρμογή θέλουμε. Αυτό σημαίνει ότι δε λειτουργεί και ούτε πρόκειται να λειτουργήσει στο παρασκήνιο. Επίσης, όλες οι επιλογές που προϋποθέτουν την ανταλλαγή των δεδομένων μας με τους server της, διαθέτουν σαφείς προειδοποιήσεις τις οποίες πρέπει να αποδεχτούμε. Είναι λοιπόν τουλάχιστον εγωιστικό να λέμε ότι η Google μας παρακολουθεί όταν στη συσκευή μας ΕΜΕΙΣ πατάμε σε όλα "Ναι". 


Το Android είναι όσο ασφαλές το κάνουμε εμείς

Οι παραπάνω παράγοντες λοιπόν, αλλά και οι επιλογές που κάνουμε, συμβάλλουν ταυτόχρονα στο να έχουμε ένα σχετικά ασφαλές σύστημα. Αυτό δε σημαίνει όμως ότι το Android είναι 100% ασφαλές, καμία ψηφιακή συσκευή δεν είναι. Η απόδειξη είναι οι μέθοδοι root που βλέπουμε κατά καιρούς, οι οποίες εκμεταλλεύονται κενά ασφαλείας του συστήματος. Για αυτό δυστυχώς δεν μπορούμε να κάνουμε τίποτα αλλά αν είμαστε προσεκτικοί δε θα έχουμε πρόβλημα και σας το λέει ένας άνθρωπος που έχει χρησιμοποιήσει 13 Android συσκευές, έχει κατεβάσει σχεδόν 700 εφαρμογές και δεν έχει κολλήσει ούτε έναν "ιό" σε όλη του την πορεία στο Android.

Υ.Γ. Όλα τα παραπάνω είναι μία άποψη και είναι αποτέλεσμα προσωπικής εμπειρίας και χρήσης. 

 
© 2012-2015 Dr. Android | Original theme design by Main-Blogger - Blogger Template and Blogging Stuff | Material design by Chris K.