[Tanel]

link :: Riigi Infosüsteemi Amet


CERT Eesti leidis sel nädalal nutitelefonides pahavara, mis ründas Eesti kasutajaid. Populaarse Androidi mängu nime all töötav pahavara saadab kasutaja teadmata tasulisi SMSe. RIA infoturbe ekspert Tarmo Randeli sõnul on viimasel ajal on üha rohkem liikvel pahavara, mille sihtmärk on nutitelefonid. “Nutitelefonidest on hetkel kõige lihtsam rünnata Androidi platvormi, mille turvalahendus on kasutaja vaatevinklist vaadates pehmelt öeldes ebaõnnestunud.”

“Androidi tarkvaraga on kaks suurt muret. Esiteks, rakendust paigaldades küsitakse inimeselt raskesti mõistetavaid küsimusi, millest arusaamine on jõukohane pigem insenerile kui keskmisele nutitelefoni kasutajale. Teiseks ei kontrolli keegi kasutajateni jõudvate lahenduste kvaliteeti või turvalisust. Nii on Google Android Market väga hea võimalus pahavara levitamiseks.”

Üks võimalik stsenaarium:
Android Marketisse pannakse alla laadimiseks populaarse nimega mäng või taustapildi rakendus, antud juhul “Angry Birds FREE”. Kui kasutaja selle alla laeb, siis paigaldamise käigus küsib mäng õigust kirjutada mälukaardile ning kasutada internetti. Inimesed ei oska paha karta ja annavad mängule küsitud õigused. Nad ei tea, et jaatavalt vastamine annab rakendusele õiguse kirjutada mälukaardile internetist laetud lisaprogrammi ja see käima panna. Tavaliselt teeb seda pahavara, näiteks “Angry Birds FREE”, mille levitaja on Logastrod, mitte mängu ametlik omanik Rovio.

Probleemid:
- Tehniliste otsuste tegemist ei saa jätta lõpptarbijale. Esiteks ei ole võimalik õpetada kõiki kasutajaid aru saama inseneride loodud küsimustest. Teiseks, pahavara loojad suudavad trikitada kasutajat pahavarale jah-sõna andma.
Näiteks küsitakse keset mängu luba saata üks SMS kasutaja superkõrge punktiskooriga kuskile portaali, millele inimesed vastavad reeglina jaatavalt. SMSi hinda (3,5 EUR) ei pruugita mainida, või siis viidatakse kasutustingimustele.
- Kasutajad ei loe lehekülgede pikkusi kasutustingimusi.
- Androidi rakenduste turule saab igaüks laadida oma rakenduse. Keegi ei kontrolli, mida rakendus tegelikult teeb.

Mida saab teha:
- Kasutaja saab valida, kas ta lubab rakendusel midagi teha. Seni nõuavad pea kõik ründed kasutaja lubavat liigutust. Oluline on mõelda, kas mängul või taustapildil on ikka vaja ligipääsu minu kontaktidele või SMSidele?
- Antud juhul saadeti SMS tasulisele numbrile 17013. Teenusepakkujad saavad piirata enda võrkudes pettusega raha teenivaid sisuteenuste pakkujaid.

Veel samal teemal:
http://www.f-secure.com/weblog/archives/00002280.html
http://www.droidgamers.com/index.php/game-news/android-game-news/2777-psa-beware-of-logastrod-and-their-cloned-games-they-contain-malware

CERT Eesti (Computer Emeregency Response Team) on RIA osakond, mis tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

[Dirty Harry]

Nutitelefonide marketeid on erinevaid - kuidas on kvaliteedikontroll Ovi Store(Nokia), App Store (Apple), Marketplace (Microsoft) puhul? St Apple puhul on kvaliteedikontroll päris tugev (oleks huvitav teada, kas on ka mõni pahavara sellest läbi pugenud), Androidi puhul on teine äärmus, kuidas on teistel?

[Ho Ho]

[Dirty Harry]

Kuna ma detaile ei tea siis vbolla ei oska kõige paremini küsimust sõnastada kuid: kas ei ole mõne mobiilse operasioonisüsteemi/marketi kombinatsioonis mõteldud sellele, kuidas tõkestada pahalasi? St Apple näitel on seal päris mitmed piirangud (ning jumala eest, ei ole vaja taas laskuda bashimisse kas need on mõistlikud piirangud või mida keegi Applest arvab), mis seab juba ise piirid arendajatele ning "iga loll" ei lähegi nii kaugele, et iAsjale appi arendada (näiteks aastatasu 99$). Androidi puhul on aga arendajatele piiranguid vähem (nagu linuxi puhul ikka).

Mis on veel Androidi puhul märkimist väärt - turuosa. Android on enim levinud nutitelefonides ning eks turuliider satub ikka surve alla (näiteks ka pahalaste poolt).

[Ho Ho]

[Dirty Harry]

Ho Ho, http://developer.apple.com/support/ios/ seal on ilmselt täpsemalt kirjas.

Ning ma mõtlesin mitte tehnilisi piiranguid, mida sa peamiselt välja tood vaid muid - kasvõi aastatasu, samuti ei saa oma tasulisi teenuseid eriti müüa (Amazon oli näiteks sellega hädas). Just viimane point ilmselt võiks teoorias takistada tasulisi SMS'e saatva app'i loomist Apple vidinatele.

Aga siiski - kuidas on Symbiani, Meego ja Windows Phone maailmas? Meego on ilmselt midagi Androidi kanti?

[Ho Ho]

Mingi kuutasu nüüd küll kedagi eemale ei hoia pahavara levitamisest. Kui ios'i peal on absoluutselt igasugune rakenduste poolt sõnumite saatmine keelatud siis vast tõesti on võimalik mingil määral kahjude tekitamist piirata.

Meego ja tõenäoliselt ka symbiani puhul peaks asjad olema suht-koht androidi sarnased ning pigem eeldatakse, et kasutaja ise pole päris tainapea. Vast nii palju on väike eelis, et vähemalt Meegol on väga paljud rakendused opensource, erilised paranoikud võivad kasvõi ise koodi üle vaadata kui tahtmist on.

[meybo]

Kasutades hetkel paralleelselt ühte Androidiga ja ühte Symbianiga telefoni, ei näe ka mina nendel kahel platvormil selles osas olulist erinevust. Küsivad ka erinevad Symbiani rakendused luba internetiühenduse või kasutaja andmete kasutamiseks. Erinevus on põhiliselt vaid selles, et Androidile on oluliselt rohkem rakendusi ja tasuta rakendusi ning neid jagatakse põhiliselt ühes kohas. Viimane aitab minu nägemust mööda tänu kasutajate kommentaaridele oluliselt kiiremini jagatavale mädavarale jälile jõuda.

[Dirty Harry]

[meybo]

[Dirty Harry]

[Ho Ho]

Kui rakendusele on antud luba omavoliliselt netti ja kohalikku storaget kasutada pole vähimatki vahet milline on vastava os'i appstore poolne filter.

[Dirty Harry]

[Ho Ho]

[DVDRW]

Pole nutitelefoni, pole probleemi

[meybo]

[Lord Ami]

http://forum.avast.com/index.php?topic=89990.0
Tasuta rakenduse kohta väga hea toode

[Renka]

[Ho Ho]

[Renka]

Ho Ho, Arvad, et sellise kojuhelistamisega app lastakse läbi?

[Betamax]

[Ho Ho]

[Renka]

Ho Ho, Kuidas sa selle payloadi telefonis käivitad huvitav?

Samuti on salvestamised jmt kõik oma sandboxis. Sa ei saa muuta midagi mis on su appi sandboxist valjas ja eraldi APIt ei oma

[Ho Ho]

[Renka]