Google, nie idź tą drogą

Jeszcze wczoraj Google był dla mnie wzorem, jeśli chodzi o politykę bezpieczeństwa producenta oprogramowania. Ale dziś mam nieco wątpliwości – otóż jeden z przedstawicieli koncernu oświadczył publicznie, że każdy, kto sprzedaje aplikacje antywirusowe dla Androida jest tylko szarlatanem i wyciągaczem pieniędzy. To niejaki Chris DiBona, menedżer projektów open-source, który dodał też, że w przypadku systemów mobilnych problem zagrożenia wirusami nie istnieje. Panie DiBona, nieładnie – producenci softu zabezpieczające co prawda mają tendencję do „nadmuchiwania” zagrożeń, ale pan zdecydowanie przegiął w drugą stronę…

Zaczęło się od wpisu, który Chris DiBona popełnił w swoim profilu na Google+. Napisał w nim m.in.

Owszem, producenci antywirusów [bo chyba ich miał na myśli DiBona pisząc „virus companies” – DC] próbują wykorzystywać nasze obawy do wciskania nam g*wno wartych aplikacji zabezpieczających dla Androida, RIM czy IOS. To szarlatani i oszuści. Jeśli pracujesz dla firmy sprzedającej takie oprogramowanie, powinieneś się wstydzić (…) Wirus teoretycznie może zaatakować urządzenie mobilne, ale jest to bardzo mało prawdopodobne

Po takiej deklaracji w branży zawrzało – i w sumie nic dziwnego, bo praktycznie każdy liczący się producent oprogramowania antywirusowego ma w ofercie rozwiązania dla platform mobilnych. Specjaliści z najróżniejszych firm (Computerworld cytuje np. wypowiedzi przedstawicieli Kaspersky i Trend Micro) na wyścigi prezentują statystyki, z których wynika, że tylko w pierwszej połowie bieżącego roku miesiącach liczba złośliwych aplikacji dla Androida wzrosła o 1410%.

I na pewno mają rację, bo takich programów jest z miesiąca na miesiąc coraz więcej – autorzy złośliwego oprogramowania z lubością wykorzystują fakt, że Google nie do końca przemyślał zasady funkcjonowania Android Marketu. Do tego serwisu z aplikacjami przyjmowane jest praktycznie wszystko, co zostanie zgłoszone – testy aplikacji „na wejściu” są minimalne, a to sprzyja autorom niebezpiecznego oprogramowania. Owszem, Google sprawnie wyłapuje takie aplikacje, ale zawsze odbywa się to po fakcie: program zostaje wykryty i usunięty dopiero gdy komuś zaszkodzi.

Mnie jednak w tej wypowiedzi uderzyło coś innego – dezynwoltura, z jaką przedstawiciel Google zestawił Androida z BlackBerry OS oraz iOS-em. Częściowo DiBona oczywiście ma rację – problem w tym, że ta część dotyczy produktów konkurencji, a nie Androioda. Owszem, w przypadku systemów stosowanych w smartfonach Blackberry i iPhone zagrożenie faktycznie jest iluzoryczne – te OS-y są świetnie zabezpieczone. W przypadku BB to zasługa biznesowego rodowodu urządzeń, w przypadku Apple’a – pełnej kontroli firmy nad tym, co może być instalowane w ich urządzeniach. Postawienie ich w jednym rzędzie ze zdecydowanie bardziej otwartym na dowolny kod Androidem to jakaś gigantyczna manipulacja.

Ja oczywiście zgadzam się co do tego, że nawet w Androidzie oprogramowanie antywirusowe nie jest niezbędne – specyfika tego systemu sprawia, że skuteczność takich aplikacji jest umiarkowana. Ale jak dla mnie Chris DiBona wyraźnie próbuje zasugerować użytkownikom, że Androida problem złośliwego oprogramowania nie dotyczy – a to już jest zdecydowana przesada.

Statystyki są nieubłagane i wyraźnie pokazują, że autorzy najróżniejszych złośliwych aplikacji poczuli krew w wodzie – najróżniejszych „szkodników” dla Androida powstaje coraz więcej i tylko kwestią czasu jest, kiedy któryś z nich okaże się naprawdę groźny i aktywny. Oni nie zwykli działać charytatywnie i uprawiać sztuki dla sztuki – jeśli inwestują w jakąś platformę swój czas i pieniądze, to tylko dlatego, że liczą na zwrot inwestycji.

Tym bardziej, że taki smartfon to idealny cel dla złośliwego oprogramowania – nie dość, że można się za jego pośrednictwem dobrać do konta bankowego (podobnie, jak w pececie), to na dodatek można np. wysyłać wysokopłatne SMS-y, czy śledzić i podsłuchiwać/podglądać użytkownika. To, że takich zagrożeń nie ma w tej chwili, nie znaczy wcale, że w bliskiej przyszłości się nie pojawią – i moim zdaniem przedstawiciele Google powinni raczej dmuchać na zimne i edukować użytkowników w zakresie potencjalnych zagrożeń. A nie wmawiać im, że zagrożenie nie istnieje.

Szczerze mówiąc, mam nadzieję, że cała ta sprawa to jakiś pojedynczy wyskok pracownika Google, a nie zwiastun nowej polityki bezpieczeństwa koncernu (na pierwszy rzut oka silnie wzorowanej na Apple – z tym, że akurat ta firma ma nieco lepsze podstawy do wmawiania klientom, że zagrożenie ich nie dotyczy). Do tej pory firma działała pod tym względem wzorowo, jej polityka bezpieczeństwa może być wzorem dla innych producentów oprogramowania. Głupio by było, gdyby miało się to zmienić.