Niebezpieczny Android – rzeczywistość czy tylko teoria?

Badania dotyczące bezpieczeństwa i potencjalnych zagrożeń czyhających na najpopularniejsze obecnie mobilne systemy operacyjne od dłuższego czasu mają jednego, niekwestionowanego negatywnego „bohatera” – Androida. System operacyjny stworzony przez Google raz za razem zajmuje w nich „czołowe” lokaty, a urządzenia pracujące pod jego kontrolą są wymieniane jako potencjalnie najbardziej zagrożone złośliwym oprogramowaniem lub innymi formami ataku. Teorię tę potwierdziły po raz kolejny bardzo szczegółowe analizy przeprowadzone przez firmę BIT9, starającą się odnaleźć najbardziej bezpieczne i najbardziej niebezpieczne smartfony kończącego się powoli roku.

Wbrew pozorom, takie badania mają sens i ogromne znaczenie. W ciągu ostatnich miesięcy, wraz z popularyzacją smartfonów, które do niedawna były głównie urządzeniami służbowymi, przyznawanymi przez firmę, po dokładnej weryfikacji przez dział IT, coraz częściej stosowana jest praktyka „przynieś swój telefon do pracy”. Po co nam w końcu dwa smartfony, skoro możemy w jednym połączyć nasze obowiązki i rozrywkę, minimalizując przy tym ilość „gratów”, które musimy nosić zawsze przy sobie? Na chwilę obecną szacuje się, że dostęp do zasobów firmowych lub w jakikolwiek sposób postrzeganych jako biznesowych (banki, transakcje on-line, mikropłatności, etc), niezależnie od systemu operacyjnego uzyskuje ze swoich prywatnych urządzeń aż 76% użytkowników smartfonów w USA mających taką możliwość.

W takiej sytuacji, o wiele mniej istotne stają się aktualizacje oprogramowania oferujące nowe funkcje czy zwiększające ogólne możliwości (co liczy się dla „zwykłego” użytkownika), a regularne usuwanie drobniejszych usterek, zwłaszcza jeśli związane są one w jakikolwiek sposób z bezpieczeństwem przechowywanych na naszym urządzeniu danych.

Jeden z wniosków zawartych w raporcie jest dość szokujący – na podstawie badań sięgających wiele miesięcy wstecz, BIT9 był w stanie jednoznacznie stwierdzić, że teoria o iOS, mającym być o wiele bardziej bezpiecznym „od podstaw” i lepiej „skonstruowanym” od samego początku niż Android… absolutnie nie jest prawdą. Jest wręcz dokładnie odwrotnie – w ostatnim czasie raportowano o wiele więcej poważnych błędów związanych z bezpieczeństwem urządzeń pracujących pod kontrolą iOS niż Androida.

Samo „źródło” systemu to jednak nie jedyne źródło zagrożeń – istotne są również dodatki „zewnętrzne”, które na stałe zostały zintegrowane z systemem. W przypadku Androida jest to Flash i Java, które w połączeniu z problemami samego Androida dają już wynik wyraźnie przewyższający produkt Apple. Chociażby w przypadku samego Flasha w zeszłym roku wykryto 42 zagrożenia, podczas gdy w iOS wykrytych zostało „zaledwie” 32. W tym samym czasie jednak, „czysty” Android miał takich poważnych wpadek (brane pod uwagę były wyłącznie sytuacje, w których usterka umożliwiała dostęp do danych lub w skrajnych przypadkach – przejęcie kontroli nad telefonem) jedynie… 3. Siła systemu i jego „uniwersalność” może być wiec nie tylko zaletą, ale również olbrzymim zagrożeniem.

Z jakiegoś jednak powodu urządzenia z Androidem zajęły w przygotowanej przez BIT9 klasyfikacji kilkanaście „pierwszych” miejsc (im wyżej tym gorzej) i łatwo domyślić się dlaczego. O ile bowiem w przypadku iPhone wszystkie tego typu problemy usuwane są najczęściej błyskawicznie, a dystrybucja aktualizacji jest natychmiastowa i „centralna”, o tyle w przypadku urządzeń z Androidem sprawa wygląda o wiele, wiele gorzej. Znany wszystkim problem (lub nie-problem) fragmentacji, aktualizacji przechodzących przez niezliczoną w porównaniu do iOS ilość pośredników (Google, producenci sprzętu, operatorzy) jest w tym przypadku o wiele bardziej dotkliwy, co w przypadku praktycznie wszystkich telefonów z system Google zaowocowało olbrzymią ilością punktów karnych. Jak bowiem bezpieczny i „pewny” może być smartfon, który na rynek wychodzi z przestarzałym, pełnym błędów dawno już naprawionych w kolejnych, teoretycznie dostępnych wersjach? Mimo wszystko i takie telefony stosowane są do wykonywania czynności służbowych, a ich użytkownicy często nie są nawet świadomi problemów obecnych w ich wersji oprogramowania.

Jednym z najważniejszych przykładów problemów z brakiem aktualizacji była marcowa afera związana ze złośliwym oprogramowaniem, które pobierane z Android Marketu pozwalało na przejęcie bez wiedzy użytkownika całkowitego dostępu do urządzenia. Aplikacja została wprawdzie zdalnie usunięta z telefonów wszystkich użytkowników, którzy nieopatrznie zainstalowali ją na swoich urządzeniach, ale odpowiednia „łatka” całkowicie wykluczająca możliwość identycznego ataku została wprowadzona dopiero w wersji Android 2.2.2, do której nie wszyscy posiadają dostęp.

Ilość błędów w samym „sercu” oprogramowania nie determinuje więc praktycznie w żaden sposób poziomu jego bezpieczeństwa – w tym przypadku Android mógłby zostać uznany za o wiele bezpieczniejszy niż iOS. Liczy się jednak to, jak szybko producent systemu jest w stanie dostarczyć nam odpowiednie poprawki i w tym momencie Android, jeśli faktycznie zależy nam na urządzeniu „zaufanym”, znacznie przegrywa z iOS. Co użytkownikowi z tego, że jego system ma mniej błędów, skoro albo nie zostają one usunięte, albo też nie ma łatwego dostępu do wydań OS je likwidujących?

Ciekawostką jest fakt, że w całym powyższym badaniu uwzględnione zostały wyłącznie dwa systemy operacyjne – Android i iOS, zwłaszcza w momencie gdy w USA (gdzie przeprowadzone były testy) wciąż popularny jest BlackBerry OS, a Microsoft za wszelką cenę stara się sprzedać Windows Phone jako urządzenia biznesowe. O ile jednak drugi z nich został uznany za zbyt marginalny, aby w chwili obecnej się nim zajmować, o tyle BlackBerry OS został uznany za… zbyt bezpieczny, aby poddawać go analizie. W jego przypadku istnieje bowiem możliwość niemal całkowitego zdalnego zarządzania urządzeniami i oprogramowaniem, włącznie z możliwością automatycznej aktualizacji oprogramowania do wybranej (dostępnej) wersji niemal całkowicie bez udziału użytkownika końcowego.

W momencie, gdy chodzi o zwykłego, „szarego” użytkownika telefonu – fragmentacja nie ma dla niego praktycznie żadnego znaczenia – albo nie jest jej nawet świadom, albo zaktualizuje urządzenie na własną rękę. Dobitnie pokazują to wyniki wszystkich ankiet, mających obrazować poziom zadowolenia użytkowników z Androida, gdzie 60-70% odpytywanych zamierza zostać na dłużej z tym systemem. Jeśli jednak zamierzamy korzystać z naszego prywatnego telefonu w firmie warto być świadomym, że praktycznie żaden z dostępnych obecnie na rynku systemów operacyjnych nie jest idealnie bezpieczny i prawdopodobnie nigdy nie będzie.

Zdjęcie: Gizmodo.com