Ponad połowa wszystkich urządzeń z Androidem ma poważną lukę w zabezpieczeniach, która umożliwia hakerom między innymi odczytywanie emaili, a nawet zdalne sterowanie telefonami z systemem operacyjnym Google. W Polsce problem dotyczy około 18 milionów użytkowników smartfonów, a – co najgorsze – Google i większość producentów urządzeń pozostawia ich z tym samym sobie.
Za najgroźniejszy słaby punkt Androida odpowiada komponent WebView, stosowany w wersjach 4.3 i starszych. Liczne aplikacje oraz standardowa przeglądarka Androida używają WebView do wyświetlania stron internetowych albo banerów reklamowych. Interfejs jest jednak podatny na Universal Cross Site Scripting: zmanipulowana strona internetowa mogłaby na przykład odczytać wiadomości użytkownika, kiedy ten jest zalogowany do przeglądarkowego klienta poczty. Aby tak się stało, użytkownik musi tylko wejść na stronę internetową autora ataku. Ekspert ds. bezpieczeństwa Tod Beardsley stwierdził oprócz tego, że przez lukę haker może uzyskać pełny dostęp do urządzenia i na przykład potajemnie włączyć mikrofon albo kamerę.
Lukę obecną w prawie 60 proc. wszystkich aktywnych urządzeń androidowych można wprawdzie usunąć, ale użytkownicy w tej kwestii nie mogą oczekiwać wsparcia od Google’a. Koncern argumentuje, że problem rozwiązano w wersjach Androida 4.4 i 5.0, tym samym uważa, że spełnił swoją powinność. Ale wiele starszych urządzeń nie otrzymuje aktualizacji do tych wersji – również z powodu braku współdziałania producentów. Wytwórcy wolą sprzedawać nowe smartfony, niż dostarczać aktualizacje do starych. Dlatego każdy jest tu zdany na siebie. Luki kryje także, opisywany często jako wolny od wirusów, iOS. Sytuacja nie jest wprawdzie aż tak poważna jak w przypadku Androida, ale również tutaj użytkownicy są w stanie sporo zrobić dla poprawy swojego bezpieczeństwa. Pokażemy, jak możecie pomóc sobie sami.
Wymiana przeglądarki
O tym, czy surfowanie po Internecie na waszym smartfonie wiąże się z zagrożeniem, obok wersji systemu operacyjnego decyduje stosowana przeglądarka. We wszystkich odsłonach Androida do numeru 4.3 standardowa przeglądarka do wyświetlania stron używa dziurawego WebView – otwierając szeroko drzwi przed hakerami.
1. Sprawdzanie wersji Androida
Na początek powinniście sprawdzić, czy na waszym smartfonie zainstalowana jest jedna z zagrożonych wersji Androida. Niebezpieczne są wszystkie wersje od Androida 2.2 alias Froyo do 4.3 alias Jelly Bean włącznie. Używany jest w nich WebView z podatnym na ataki komponentem WebKit, z których korzysta między innymi androidowa przeglądarka. Dopiero od Androida 4.4 system zawiera bezpieczny wariant WebView Blink, silnik przeglądarki Chrome. Jeśli dysponujecie Androidem w wersji 4.3 i starszej, do surfowania w żadnym wypadku nie powinniście używać przeglądarki standardowej. Jeśli nie pamiętacie, jaka wersja jest zainstalowana na waszym urządzeniu, wejdźcie do ustawień systemowych i dotknijcie »Informacje o telefonie« (1a). Jeżeli w punkcie »Wersja systemu Android« (patrz: 1b) znajduje się »4.4« albo »5.0«, to w tym miejscu możecie przerwać czytanie artykułu: jesteście bezpieczni. W pozostałych przypadkach powinniście dalej postępować według naszej instrukcji.
2. Sprawdzenie aktualizacji producenta
W kolejnym kroku należy sprawdzić, czy producent waszego urządzenia oferuje aktualizację do bezpiecznej wersji Androida. Pozostańcie w menu »O telefonie« i dotknijcie »aktualizacja online« (2a). Jeśli smartfon nie znajdzie aktualizacji albo gdy najnowszą aktualizacją jest wersja starsza niż 4.4, pozostają wam dwie opcje zabezpieczenia systemu: zainstalowanie alternatywnej przeglądarki bądź ręczna aktualizacja swojego urządzenia – do alternatywnego systemu operacyjnego. Ta ostatnia propozycja okazuje się bezpieczniejsza, bo rozwiązuje problem, zamiast go obchodzić, ale zabieg nie jest trywialny ani zalecany dla początkujących. Łatwiej zastosować inną przeglądarkę, która nie zawiera wymienionych na wstępie luk w bezpieczeństwie.
3. Instalacja alternatywnej przeglądarki
W zasadzie każda przeglądarka z własnym silnikiem poradzi sobie z luką w komponencie WebView. Może to więc być Chrome, Firefox, Opera i Dolphin. Chrome ma jednak ograniczenie: Google nie aktualizuje tej przeglądarki, jeśli działa ona w Androidzie 4.0.4 albo starszym. Oznacza to, że nie mamy także dostępu do aktualizacji zabezpieczeń. Dlatego rekomendujemy Firefoxa, bo jest on aktualizowany regularnie. Firefoxa, tak samo jak inne aplikacje, instalujecie ze Sklepu Play (3a). Po instalacji musicie zdefiniować nową przeglądarkę jako domyślną, aby od teraz system zawsze używał jej do wyświetlania treści internetowych. W tym celu otwórzcie łącze do strony, np. z wiadomości, w okienku »Wykonaj akcję za pomocą« zaznaczcie pole obok »Używaj zawsze do tej akcji« i naciśnijcie ikonę przeglądarki (3b). Jeśli zamiast okna dialogowego otworzy się przeglądarka, przejdźcie do kroku 4.
4. Usuwanie starej domyślnej przeglądarki
Jeśli inny browser ma zastąpić zagrożoną przeglądarkę standardową w roli przeglądarki domyślnej, to zanim bezpieczną alternatywę, np. Firefoxa, zdefiniujecie jako nową przeglądarkę domyślną, musicie najpierw usunąć to ustawienie. Wejdźcie ponownie do ustawień systemowych (por. 1a) i w dziale »Urządzenie « dotknijcie »Aplikacje«. Przejdźcie do karty »Wszystkie« i wybierzcie z listy przeglądarkę systemową (4a). Przewińcie menu aż do pozycji »Uruchom domyślnie« i dotknijcie przycisku »Wyczyść domyślne« (4b). Teraz powinniście móc zdefiniować nową przeglądarkę jako standardową, powtarzając krok 3b niniejszej instrukcji. Jeśli okno dialogowe do ustawiania nowej przeglądarki standardowej nie pojawia się, musicie powtórzyć kroki 4a i 4b z wszystkimi innymi przeglądarkami, które są jeszcze zainstalowane.
5. Ustawienie zewnętrznej przeglądarki jako standardowej
Obok przeglądarki systemowej wiele aplikacji innych operatorów wykorzystuje komponent WebView do wyświetlania treści sieciowych. Dlatego również one wymagają ochrony przed lukami w zabezpieczeniach. Problem dotyczy między innymi aplikacji Facebooka. Można ją jednak skonfigurować tak, aby otwierała strony internetowe tylko w zewnętrznej przeglądarce, dzięki czemu nie będzie już musiała korzystać z WebView. W tym celu w aplikacji Facebooka dotknijcie ikony menu i przewińcie je do dołu aż do działu »Ustawienia«. Tam dotknijcie pozycji »Ustawienia aplikacji« i zaznaczcie opcję »Liniki otwierane na zewnątrz«. Zewnętrzna przeglądarka to ta, którą przedtem zdefiniowaliście jako przeglądarkę domyślną (por. 3b).
Samodzielna aktualizacja Androida
Używając bezpiecznej przeglądarki, można pominąć najpoważniejsze problemy spowodowane luką WebView. Nie uniknie się jednak wówczas kłopotu z banerami reklamowymi, które mogą stać się potencjalną drogą przenikania dla hakerów, bo sama luka istnieje dalej. Znika dopiero po aktualizacji systemu operacyjnego – do Androida 4.4 albo wyższej wersji. Jeśli producent urządzenia nie udostępnia oficjalnej aktualizacji, to pozostaje jeszcze możliwość zainstalowania na urządzeniu alternatywnego systemu Android – mowa o Custom ROM-ie (CR).
Ostrożność przy rootowaniu
Ponieważ Custom ROM-y są na bieżąco rozwijane przez społeczność programistów, zawsze są w najnowszej wersji. Instalacja alternatywnej wersji Androida nie jest jednak prosta: użytkownik potrzebuje do takiej operacji pełnych praw administratora, a więc roota. Producenci nie przyznają użytkownikom tych praw i mają ku temu dobry powód: zrootowane urządzenie może zostać całkowicie zmodyfikowane, co w najgorszym przypadku będzie skutkować tym, że smartfon bądź tablet przestanie działać. Dlatego zrootowane urządzenia często tracą gwarancję producenta. Tyle że w niektórych przypadkach użytkownikowi nie pozostaje żadna inna możliwość. Do pokonania jest jednak poważna przeszkoda: w zależności od wytwórcy i urządzenia procedury rootwania różnią się od siebie. Niektórzy producenci, jak HTC i Sony, ułatwiają społeczności programistów to zadanie, inni, jak Samsung, ogromnie utrudniają tę procedurę, co powoduje konieczność używania specjalistycznego oprogramowania, na przykład Odin.
Fora programistów oferują pomoc w rootowaniu
Najlepiej zasięgnąć rady na programistycznym forum, jak android-hilfe.de albo xda-developers.com. Dla większości urządzeń znajdują się tu aktualne instrukcje krok po kroku. Kiedy już uzyskacie pełny dostęp do telefonu, na koniec należy zainstalować oprogramowanie Custom Recovery, przez które ostatecznie zostanie wgrany CR. Najlepiej doczytać o tym na odpowiednich forach. Ponieważ podczas instalacji Custom ROM-u – a często już przy rootowaniu – urządzenie jest resetowane do stanu fabrycznego, należy przedtem zrobić backup wszystkich ważnych danych.
Z reguły większość zabiegów aż do kompletnej instalacji CR trzeba wykonać ręcznie, co trwa długo i jest skomplikowane. Dla CR CyanogenMod przewidziano jednak instalator, który wykonuje wszystkie niezbędne kroki automatycznie. Problem leży tylko w tym, że instalator działa jedynie ze smartfonami z serii Galaxy, Nexusami i HTC One. Posiadacze innych modeli muszą pobrać instrukcję instalacji z wiki.cyanogenmod.org. Ze względu na przyjazność dla użytkownika Cyanogenmod polecany jest zwłaszcza tym, którzy instalują CR po raz pierwszy.
Aplikacje iOS szpiegują
Apple chciałby, aby użytkownicy wierzyli, że jego mobilny system operacyjny nie niesie ze sobą żadnych zagrożeń. Producent iPhone’ów w marcu usunął z App Store’u wszystkie aplikacje antywirusowe. Dlaczego? Bo mogłyby nasunąć użytkownikowi przypuszczenie, że istnieją wirusy do iOS. Ponieważ Apple sprawdza aplikacje znacznie bardziej rygorystycznie niż Google, zanim trafią one do App Store’u, szkodliwych programów do iPhone’a i iPada nie ma prawie wcale. Ale iOS nie jest bynajmniej całkowicie wolny od wad: z aktualizacją do najnowszej wersji 8.3 Apple opublikował listę prawie 60 luk w bezpieczeństwie, które są nie zostały zamknięte – w tym luk w silniku przeglądarki WebKit, które umożliwiały ataki przez Remote Code Execution.
W przeciwieństwie do Google’a Apple dystrybuuje aktualizacje do większości urządzeń, w tym także starszych: iOS 8.3 działa na wszystkich iPhone’ach aż po trzyipółletniego 4S. Oznacza to także, że kto nie dostaje już aktualizacji, ten musi żyć z lukami w zabezpieczeniach albo kupić nowy model. Można oczywiście zrootować iPhone – w urządzeniach Apple operacja ta nazywana jest jailbreakiem. Z tym że taki zabieg umożliwia jedynie instalowanie aplikacji dystrybuowanych poza oficjalnym App Store’em. Ponieważ wspomniane programy nie są sprawdzane przez Apple’a, istnieje duże ryzyko pobrania na telefon niebezpiecznego oprogramowania.
Również aplikacje z prawego łoża mogą stanowić zagrożenie – jak ustalił programista iOS Craig Hockenberry. Podobnie jak w Androidzie, w iOS problemy sprawia także WebView, komponent systemowy, przez który aplikacje wyświetlają treści webowe. Przy wyświetlaniu stron internetowych programy przez WebView otrzymują dostęp do danych formularzy, jak nazwa użytkownika i hasło, i teoretycznie mogą przekazać je dalej.
Bezpieczny Windows
O bezpieczeństwie w Windows Phone niewiele da się powiedzieć. Można tylko stwierdzić, że znane dotychczas luki praktycznie nie są wykorzystywane. Głównym powodem jest mała popularność tego systemu operacyjnego. To sprawia, że dla hakerów jest on nieinteresujący.
Inny powód takiego stanu rzeczy to wysokie wymagania stawiane aplikacjom. – Microsoft kontroluje aplikacje jeszcze surowiej niż Apple – wyjaśnia ekspert od bezpieczeństwa Mike Morgenstern z AV-Test. Do tego dochodzi fakt, że w przeciwieństwie do desktopów programy w Windows Phone pracują z dużymi ograniczeniami. – Nawet gdyby ktoś zdobył dostęp do aplikacji, to jeszcze długo nie mógłby zaatakować samego systemu – kontynuuje Morgenstern. Ponieważ oprócz tego Microsoft regularnie zaopatruje swoje urządzenia mobilne w aktualizacje, Windows Phone jest dobrym wyborem dla użytkowników przykładających dużą wagę do bezpieczeństwa.