Az okostelefonok biztonsági kockázatai

Írta: Bocha
2011-05-06 15:20

Miről is beszélünk?

Sokan valószínűleg nem is realizálták, de bizony lassan a 10. évfordulóját ünnepelhetjük az első Symbian operációs rendszert futtató okostelefon, a Nokia 7650 megjelenésének. A piac ezalatt az évtized alatt rengeteg dolgoban változott, maguk a készülékek, a szó "modern értelmében" vett okostelefonok is egészen mások, mint amilyenek pár évvel ezelőtt voltak. Ezzel együtt a felhasználói szokások is jelentősen változtak, a mobilinternet megjelenésével és árcsökkenésével együtt az adatainkhoz való hozzáállásunk is sokat változott. Mindenki élvezi az új vívmányok előnyeit, arra azonban kevesen gondolnak, hogy az emberek gyakorlatilag a fél életüket a zsebükben hordják az okostelefonukon. Ez pedig problémákhoz vezethet.

Az IT-biztonsági szakma ezt a jelenséget sérülékenységnek hívja, az okostelefonok pedig bizony egyre sérülékenyebbek - legalábbis ez derült ki a Kürt Zrt. sajtótájékoztatóján elhangzottakból. Ennek oka nem csak az, hogy az okostelefonok száma rohamosan nő, bár ez is benne van; most először hallhattunk statisztikákat a magyarországi eladásokról, melyek tanúsága szerint 2009-ben 236 000, 2010-ben pedig 501 000 okostelefont értékesítettek Magyarországon. Ez a szám jövőre várhatóan 1 000 000 fölött lesz, magyarán lassan a lakosság ötödének okostelefonja van; ugyanez máshonnan megközelítve azt jelenti, hogy minden második munkavállalónak okostelefonja lesz az év végére. Az adatszerzésnél az alapok persze ettől függetlenek és nem is változtak; vannak támadók és vannak azok, akiket megtámadnak. A támadások száma viszont az elmúlt években rohamosan megnőtt, egyes statisztikai adatok szerint öt-hétszeres növekedésről beszélhetünk, amiben a már említettek mellett az is fontos szerepet játszik, hogy a felhasználók egyre több dologra használják mobilkészülékeiket, egyre több adatot tartanak rajta.

Így lehet az, hogy pár éve nevettünk az antivírus szoftverek symbianos változatain, ma pedig olyan dolgokról kell beszélnünk, mint a mobiltelefonos adatbiztonság. Mindehhez hozzájön az Apple és az Android körüli botrány, felröppentek ugyanis olyan hírek, hogy az okostelefonok folyamatosan logolják (és esetleg tovább is küldik a gyártók felé) azt, hogy merre jár az ember. A téma aktuális és forró, csapjunk is a lovak közé!

Mi a gond?

A mobil intormatikának három problematikus területe, gócpontja van: az adattest, a vezeték nélküli kommunikáció és az adatszivárgás. Ez nyilván érdemel némi kifejtést, az adattest gyakorlatilag azt az információtömeget jelenti, melyet életünk során önként vagy önkéntelenül gyűjtünk magunkról. Érdemes kicsit elmélyedni ebben a jelenségben, hiszen így kiderül, hogy egy születendő gyermek adatteste már azelőtt létrejön és növekszik, mielőtt a csecsemő egyáltalán a világra jönne, hiszen a szülők felrakják az ultrahang felvételeket Facebookra, e-mailben információkat küldenek a barátoknak és a többi. Nyilván régen is voltak fotók és az emberek beszéltek is egymással, de előbbiek nem digitális formában voltak tárolva (és főleg nem az interneten), utóbbi információk pedig vagy telefonon, vagy személyes beszélgetések során cseréltek gazdát. Adatbiztonsági szempontból komoly kockázatot jelentenek a közösségi oldalak is, elég csak arra gondolnunk, hogy még arra is van lehetőségünk, hogy a vállalati Exchange névjegyzékünkből keressünk magunknak Facebook ismerősöket, azaz újszülött gyermekünk fotóját adott esetben nem csak a barátaink, hanem az üzleti partnereink is megkapják. Az interneten tehát sok esetben annyi adat van fent rólunk, hogy azt szinte elképzelni sem tudjuk.

A vezeték nélküli kommunikációnál komoly problémát jelent a WiFi hálózatok terjedése is. Nyilván egy nagyszerű vívmányról van szó, hiszen nem kell bekábelezni a fél irodát ahhoz, hogy mindenkinek legyen internete, de a titkosításra sokszor nem fektetnek elég nagy hangsúlyt a cégek, így pedig adataik könnyen illetéktelen kezekbe kerülhetnek, hiszen egy irányított antennával akár több száz méterről is le lehet hallgatni a hálózati kommunikációt. Persze nem csak a feltörési technikák, hanem a biztonsági eljárások is rohamosan fejlődnek, de ettől függetlenül problémát jelent, hogy sok cég (és sok magánember) nem megfelelően védi a hálózatát. Márpedig az okostelefonunk is ezen kommunikál, a táblagépekről nem is beszélve. Céges szinten látni kell azt is, hogy a legnagyobb tudású okostelefonok és a táblagépek általában pont azoknál az embereknél vannak, akik cégvezetőként a legtöbb adatot hordozzák a zsebükben.

Az adatszivárgásnál is jelentős probléma van, a legnagyobb nyilván az, hogy egy okostelefont könnyebben elhagyni, mint mondjuk egy asztali számítógépet. Ezeken a készülékeken ugye sem a tárhely, sem az adatkommunikáció nem biztosított, ráadásul a védelemmel foglalkozó cégeknek is nehezebb dolguk van, mint pár éve, ugyanis nem csak a Microsoft Windows platformra kell megoldásokat kínálniuk, hanem négy-öt gyártó heterogén környezetére. Az okostelefonok ugye sok olyan funkciót tudnak, melyek pár éve még a számítógépek sajátjaik voltak, mindehhez pedig hozzájön az, hogy az efféle kütyük mottója az, hogy segítségükkel mindent, egyszerűen elérhetünk. Ezzel a filozófiával nyilván nem összeegyeztethető, hogy a képernyőzárat egy 16 karakteres jelszóval oldjuk fel.

Az okostelefonokra letölthető ingyenes alkalmazásoknál és játékoknál azon is érdemes elgondolkodni, hogy miért ingyenesek; nyilván nem azért, mert valaki merő jófejségből heteket vagy hónapokat beleöl a fejlesztésbe. Két válasz létezik; elképzelhető, hogy az adott applikációban reklámok szerepelnek, de az is lehetséges, hogy a program mindenféle információkat ad meg rólunk a központi szervernek, többek között mondjuk azt, hogy épp hol tartózkodunk. Ezeket az információkat pedig a szoftvert gyártó cég eladja valakinek, nyilván ebből élnek, ahogy valószínű, hogy ebből él mondjuk a Facebook is.

Márton Miklós, Kürt Zrt.

Hogy mi a helyzet az adatszivárgással? Márton Miklós, a Kürt üzleti vezérigazható-helyettese múlt héten elmondta a rádióműsorunkban, hogy egy túlságosan felkapott jelenségről van szó. Az okostelefonok ugyanis nem azt tartják számon, hogy az ember hol volt, hanem azt, hogy azon a helyen, ahol tartózkodott, milyen GSM-bázisállomásokat, azaz adótornyokat látott. Belvárosban az ilyen bázisállomások jellemzően pár száz méterenként vannak, úgyhogy város és került szintjén simán lehet tudni, hogy ki hol volt, de autópályán azért jó pár kilométer van minden torony között, ott tehát nem ilyen egyértelmű a helyzet. Azt tehát senki nem fogja tudni, hogy mikor jártunk az abc-ben. Miklós szerint azonban nem emiatt jelentéktelen a dolog, hanem azért, mert az adatgyűjtés anonim; véleménye szerint ilyen mennyiségű adatot nem is lehetne névre szólóan tárolni, plusz egy telefon nem feltétlenül köthető hozzá egy emberhez. Maga a tárolás egyébként nem azért van, mert az Apple és a Google imád adatot gyűjteni (bár nyilván imádnak), hanem azért, mert így sokkal gyorsabb a pozicionálás, a GPS-jelekre ugyanis adott esetben több percet is kellene várnunk, ha elindítunk egy térképalkalmazást. Az Apple mindenesetre ott elszúrta a dolgot, hogy a logfájlt a telefonban őrizte, legújabb szoftverfrissítésük orvosolni fogja a problémát iPhone-on. A Google pedig még meg is kérdezi a telefon használatának megkezdésekor, illetve a térképalkalmazás elindításával egyidőben, hogy a felhasználó engedélyezi-e ezt a fajta adattovábbítást.

Mi a megoldás?

Elsősorban céges környezetet vizsgálva a megoldás az lehetne, hogy a cégek korlátozzák a készülékek technikai lehetőségeit. A funkciók megnyirbálása mellett fontos lenne egy központi menedzsment kialakítása, 3rd party szoftvermegoldások alkalmazása és persze az, hogy az okostelefonokon gyárilag megtalálható biztonsági funkciókat mindenki kihasználja. Fontos lenne, hogy a felhasználókat némi tudatosságra neveljék a cégek és adott esetben a média is, mi is ezt próbáljuk most megtenni; vállalati szinten nyilván megoldást jelentenének a tréningek és az, hogy az efféle adatbiztonsági eljárásokkal kapcsolatban a cégek házirendet írnak, melyet beépítenek a vállalati kultúrára is. A Kürt Zrt-nek egyébként jelenleg egyetlen egy olyan ügyfele van, ahol efféle intézkedések érvényben vannak.

Android Pattern Screen Lock
Androidon egy ábrával is védhetjük a kijelzőt

Nyilván nem szeretnénk senkit sem riogatni, túlzás lenne azt állítani, hogy jelenleg is hekkerek százai kutakodnak a zsebünkben lévő telefon belső memóriájában az otthoni WiFi hálózaton keresztül. Ugyanakkor szükség van némi tudatosságra is, mert a felhasználók bizony tényleg nincsenek tisztában azzal, hogy személyes adataikat egy pillanat alatt elhagyhatják a telefonjukkal együtt. Valamennyire ide tartozik a biztonsági másolatok kérdésköre is; az emberek általában vagy egy Google accounttal szinkronizálják adataikat (amiben azért van némi biztonsági kockázat), vagy semmivel. Egy esetleges telefonlopás esetén tehát nem csak illetéktelen kezekbe kerülnek adataink, hanem örökre el is vesznek.

Android Pattern Screen Lock
iPhone-on kódot adhatunk meg a kijelző feloldásához

A cégeket vezető olvasóinknak tehát arra tudjuk bíztatni, hogy üljenek le és gondolják végig azt, hogy a vállalati információk az alkalmazottak telefonjainak és a belső WiFi hálózat(ok)nak biztonsági réseit használva mennyire sebezhetők. A vezeték nélküli internethálózatok titkosítására persze az otthoni felhasználókat is csak bíztatni tudjuk, továbbá az sem lenne probléma, ha a készülékekbe épített alapvető biztonsági funkciókat kihasználnánk; legalább egy négy karakteres jelszóhoz kössük a képernyőzár feloldását, azt pár másodperc alatt be lehet gépelni, egy tolvaj viszont nem fogja tudni elérni az adatokat, ha ilyet használunk. Persze ez sem egy bombabiztos megoldás, de arra mindenképp jó, hogy az adatainkat ne három gombnyomással lehessen kiszedni a telefonból, hanem szakértők kelljenek hozzá és nekik is meg kelljen dolgozniuk. Ha pedig olyan készülékünk van, mely lehetőséget biztosít távoli adattörlésre (iPhone, Windows Phone 7, de a HTC és a Motorola is biztosít ilyen opciót), használjuk ki a lehetőségeket! Pont tegnap mutattuk be a Motorola Atrixot, ahol biometrikus azonosító is hozzárendelhető a kijelző feloldásához. Az informatikában a biztonság és a funkciók mindig is ellenérdekeltek voltak, de az okostelefonoknál talán még szélsőségesebb a helyzet; itt a biztonság az alapfunkciókkal, azaz a könnyű használhatósággal megy szembe. A telefonok persze ettől függetlenül okosak; használjuk őket mi is okosan! Ha pedig ilyen eszközt használjunk, tudjunk róla, hogy akarva-akaratlanul, anonim módon hozzájárulunk ahhoz, hogy a cégek adatbázisa mindenféle dologgal gazdagodjon.

Bocha

Kapcsolódó cégek:
Kürt Zrt.

Előzmények

iPhone és iOS fejlődéstörténet

Frissítve: Mik voltak az egyes iPhone modellek újításai? Mik az egyes szoftververziók új funkció és merre tart a fejlesztés? Válaszolunk.

Elemzés 2011-04-06 191
Mobile World Congress 2011 összefoglaló

Vége a barcelonai kiállításnak, tarolt az Android, a kétmagos processzor és a tablet.

Elemzés 2011-02-18 104
Játékok az okostelefonok sikere mögött?

Pontosan hány játékot is töltöttek le az AppStore-ból? Mennyit dobott ez az iPhone eladásain? Mi a helyzet az Androiddal? Elmélkedünk.

Elemzés 2011-02-01 150
Mobilkommunikációs évértékelő 2010

Az idei év ismét bővelkedett rengeteg történésben, eseményben. Csokorba szedtük mindezeket.

Elemzés 2010-12-31 108