Kiedy system Android będzie bezpieczny i czy BlackBerry ma na to jakikolwiek wpływ?

Do napisania tych wolnych myśli zainspirował mnie komentarz jednego z użytkowników serwisu BBNews.pl — czytelnikom znany przede wszystkim z informacji o urządzeniach firmy BlackBerry.

Czekam z nie cierpliwością, aż ktoś pokaże, czy faktycznie Android od BB jest bezpieczny, wiele osób zapewne się zawiedzie ;)

Ostatnimi czasy bardzo popularne stało się wypowiadanie własnych myśli poprzedzając je: „według mnie” lub „moim zdaniem” — chyba ze względu na (nie)poprawność polityczną. Ale kto by się tym przejmował, prawda?

Przechodząc do meritum, należałoby wyjaśnić, czym tak naprawdę jest bezpieczeństwo.

Zjawisko „bezpieczeństwa” tłumaczę nie jako stałą, ale wręcz przeciwnie — jako niekończący się proces; wynik granicy ciągu, który dąży do nieskończoności i nigdy nie zbliży się do takiej wartości, aby można było z czystym sumieniem powiedzieć, że to już koniec. Już wystarczy.  

BlackBerry tak na dobrą sprawę zaczyna raczkować z Androidem tworząc z coraz bardziej hermetycznego systemu operacyjnego swój ekosystem, który zintegrowany jest z autorskimi usługami, na tyle, na ile jest to możliwe do zrealizowania.

Sam Android staje się powoli do tego stopnia zamknięty na wszelkie modyfikacje, że już niedługo zrootowane urządzenia mogą nie mieć dostępu do płatności Android Play. Czy to dobrze? Google twierdzi, że ich decyzja podyktowana jest troską o bezpieczeństwo użytkowników. Ja twierdzę, że jest w tym jakieś głębsze przesłanie, które podyktowane jest — a jakże — forsą (w perspektywie długofalowej), a także zjawiskiem, które określam jako "żniwiarką ludzi-zombie": zombie w takim znaczeniu, iż jesteśmy zmuszani do oddawania coraz więcej obszarów naszego życia różnym monopolistom.  

Bezpieczeństwo Androida wg. Google

System Android jest systemem… przyzwoicie bezpiecznym. To chyba odważne stwierdzenie, prawda? Ta przeogromna ilość infekcji nie wynika z ułomności samego systemu, ale jego użytkowników. Temat ten został rozwinięty w artykule "Bezpieczeństwo systemu Android od dawna stoi pod znakiem zapytania. Co nas czeka w przyszłości?". 

Według mnie (ponownie użyję tego określenia), bezpieczeństwo Androida implikowała głupia polityka sklepu Google dla deweloperów aplikacji, które doprowadziła do tego, że aplikacja często wymagała do działania większych uprawnień, niż powinna.

<uses-permission android:name="android.permission.INTERNET" />

<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />

<uses-permission android:name="android.permission.ACCESS_LOCATION_EXTRA_COMMANDS" />

<uses-permission android:name="com.example.towntour.permission.MAPS_RECEIVE" />

<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />

<uses-permission android:name="android.permission.CALL_PHONE" />

Powyższy kod jest składową manifestu, który opisuje podstawowe charakterystyki aplikacji i definiuje jej komponenty. 

Obecnie wygląda to już lepiej. Co więcej, samo tak zwane „bezpieczne” repozytorium aplikacji, jakim rzekomo jest Google Play, posiada niedoskonałe mechanizmy kontrolowania dodawanych i już istniejących w sklepie programów. Przykładów chyba nie trzeba podawać, w końcu systematycznie pojawiają się na AVLab informacje o kolejnym złośliwym trojanie w Google Play.

A co na to Blackberry?

Producent kieruje swoje usługi już nie tylko do użytkowników z sektora Enterprise. Nie stoi też nic na przeszkodzie, aby korzystać ze świetnego BlackBerry HUB jako osoba prywatna. Ale czy urządzenia BlackBerry z autorską nakładką interfejsu i aplikacjami są bezpieczniejsze od stock’owego Androida?

Jak wspomniałem, bezpieczeństwo nigdy nie osiągnie swojej górnej granicy, po której moglibyśmy stwierdzić — „już wystarczy, chyba nic więcej nie musimy robić”.

Bezpieczeństwo Androida zależy nie tylko od Google, które przecież bardzo szybko dostarcza łaty bezpieczeństwa. Każdy producent musi reagować na nowe wektory ataków, które wynikają z nowych trendów i złośliwego oprogramowania, ale także nowo odkrytych luk 0-day, które przez długi okres nie są łatane. 

Problemy z bezpieczeństwem CVE Priotytet Dotyczy Nexusa?
Remote code execution vulnerability in kernel ASN.1 decoder CVE-2016-0758 Critical Yes
Remote code execution vulnerability in kernel networking subsystem CVE-2016-7117 Critical Yes
Elevation of privilege vulnerability in MediaTek video driver CVE-2016-3928 Critical No
Elevation of privilege vulnerability in kernel shared memory driver CVE-2016-5340 Critical Yes

Im szybciej, tym lepiej. Tylko wtedy możemy stwierdzić, który producent tak naprawdę posiada na obecną chwilę „najbezpieczniejszego” Androida. Sam BlackBerry określa swoje nowe telefony z serii DTEK jako „Most Secure Android Smartphone”. 

Złośliwi twierdzą, że BB dodało aplikację jakich jest na pęczki:

  • sprawdza dodane uprawnienia zainstalowanym aplikacjom,
  • niepoprawne ustawienia systemowe, które wpływają na obniżenie bezpieczeństwa
  • weryfikuje zgodność opcji odpowiedzialnej za instalowania aplikacji tylko z oficjalnego repozytorium.

A co z szyfrowaniem? Co z systematycznym aktualizowaniem systemu operacyjnego? Sądzę, że w tych dwóch kwestach leży sedno bezpieczeństwa. Z całą resztą poradzi sobie sam użytkownik.

O co w tym wszystkim chodzi?

Po kilku latach działalności w tej branży, zaobserwowałem, że ludzi możemy podzielić na kilka grup:

  • Pierwsza z nich to kompletni ignoranci, właściwie nie interesuje ich własne bezpieczeństwo. Konsumpcja i rozrywka, to są ich główne cele. IT jest gdzieś na uboczu, chociaż bez IT nie potrafią funkcjonować jako „nowoczesne” społeczeństwo.
  • Świadomi zagrożeń użytkownicy, którzy nie legitymują się technicznymi umiejętnościami, jednak biorą sprawy w swoje ręce i uczą się na złych doświadczeniach innych — zwykle tych, którzy zaliczają się do grupy pierwszej.
  • Osoby, które śledzą informacje bezpiecznikowe, jednak utwierdzają siebie i innych w przekonaniu, że skoro żadna ochrona nie jest im potrzebna do szczęścia, to cała rzesza osób też może się bez niej obejść. Oto cała tajemnica. Rozwiązanie na bezpieczeństwo.
  • Ostatnia grupa ma na uwadze pozostałe grupy użytkowników. Podnoszą ich wiedzę i świadomość w zakresie bezpieczeństwa oraz powtarzają jak mantra, że problem ciągle istnieje.

Jak jest naprawdę? „Moim zdaniem” każdy odpowiada przed sobą indywidualnie. Sęk w tym, aby uczyć się na błędach, dzielić się doświadczeniami i przestrzegać przed nieuczciwymi ludźmi.  

Posiadacie prawo jazdy? Świetnie, to oznacza, że potraficie kierować pojazdem zmechanizowanym, wiecie jak „zachowywać się” w ruchu kołowym, potraficie udzielić pierwszej pomocy.

Ukończyliście kurs wspinaczkowy? Możemy założyć (badania psychologiczne chyba nie są wymagane), że żaden miłośnik górskich wspinaczek samobójcą nie jest i ma równo pod sufitem. A to jest tożsame z tym, że nie rzuci się ze skały w dół zostawiając za sobą tylko rozbryzgane na cztery strony świata wnętrzności, które zostaną zebrane do czarnego wora.

Uważacie się za kogoś, kto z IT jest za pan brat? Zaliczacie się do pokolenia Y lub Z? To pewnie znacie przynajmniej podstawy bezpiecznego korzystania z urządzeń przenośnych i systemów operacyjnych, a także potraficie rozpoznać proste socjotechniczne ataki. W końcu w waszych rękach: wasze finanse, wasza tożsamość, wasza prywatność.

Bezpieczeństwo jest jak każda inna dziedzina w życiu. Szkoda, że nie mamy wszyscy tego we krwi. Przynajmniej na razie.




Podobne artykuły

Na ile to komentarzy o rezygnacji z oprogramowania antywirusowego dla urządzeń mobilnych...

Dodaj komentarz