Je li Android doista nesiguran? Pitali smo stručnjake

Android je najraširenija mobilna platforma na planetu. Više od 1,4 milijarde ljudi koristi Android pametni telefon ili tablet svaki dan, a činjenica da je otvorenog koda i besplatan za proizvođače velik je dio te popularnosti. Ali otvorenost je dvosjekli mač: dovela je do situacije u kojoj se mnogi Android telefoni ne ažuriraju redovito najnovijim sigurnosnim zakrpama.

Bauk zlonamjernog softvera se nadvio Android u posljednjih nekoliko godina, s istraživačima koji otkrivaju vrlo visoke ranjivosti, kao što je Trema. Negativne vijesti dolaze tako gusto i brzo da ih je teško staviti u perspektivu. Upravo smo prošli tjedan izvještavali o tome Zlonamjerni softver FalseGuide, što je moglo utjecati na do 1,8 milijuna Android korisnika.

Ako pogledamo samo naslove, oprostit će vam se što ste sumnjali u to Android sigurnost, ali gdje je granica između hiperbole i istinskog rizika? Je li platforma doista nesigurna?

“Ne, nije nesigurno. Mislim da imamo mali problem s percepcijom, ali to se jako razlikuje od stvarnog rizika korisnika,” Adrian Ludwig, direktor

Android Sigurnost, rekao je Digital Trends u nedavnom intervjuu. "Kriptografski posao koji smo radili, sandboxing koji smo radili i puno rada na otežavanju iskorištavanja sve se lijepo slaže."

Nema sumnje da su najnovije verzije Android su sigurniji od svojih prethodnika, ali problem je što mnogi Android korisnici nikad ne osjete korist. Osvrćući se na 2016. u a post na blogu, the Android sigurnosni tim priznao je da otprilike polovica uređaja koji su se koristili krajem 2016. nije primila ažuriranje najmanje 12 mjeseci.

“Ažurirane verzije Googlea Android može se smatrati sigurnim,” rekao je Maik Morgenstern, izvršni direktor organizacije za ocjenjivanje antivirusnih programa AV-Test, za Digital Trends. “Ali posebno kod mnogih starijih Android verzijama, pojavljuje se sve više ranjivosti i mnogi dobavljači ne isporučuju ažuriranja za svoje uređaje. Trenutno je poznato preko 800 ranjivosti."

Ako pogledamo službene brojke distribucije za Android od travnja otkrivamo da je samo 4,9 posto Android uređaji pokreću najnovije verzije, Nougat 7.0 ili 7.1. To je razočaravajuće mali dio ukupnog broja. Gledajući dalje unazad, Android 6.0 Marshmallow radi na 31,2 posto uređaja, Android 5.0 ili 5.1, Lollipop, nalazi se na 31 posto uređaja, a petina Android uređaji još rade Android 4.4 KitKat. Većina ovih uređaja pokreće starije verzije Android malo je vjerojatno da će ikada biti ažurirani.

"Osamdeset i četiri posto telefona nije nadograđeno, što znači da je većina mobilnih uređaja još uvijek u opasnosti", Joshua J. Drake, potpredsjednik Platform Research and Exploitation u Zimperiumu, rekao je za Digital Trends.

Zimperium je tvrtka za mobilnu sigurnost; Drake otkrio je ranjivost Stagefright još 2015. godine. Imao je potencijal dati hakerima kontrolu nad Android uređaj putem zlonamjernog koda u audio ili video datoteci — i do 95 posto uređaja bilo je ranjivo na njega, prema tadašnjim izvješćima. Drake nam je rekao da su neki uređaji i danas ranjivi.

Iako je potencijalna šteta bila zastrašujuća, nejasno je na što je utjecaj Android korisnika bio je.

"Prošlo je godinu i pol dana, skoro dvije godine otkako smo prvi put saznali za to, a još uvijek ne znamo je li itko zapravo pogođen", rekao je Ludwig.

Ali Drake se ne slaže.

"Znamo da je bilo ciljanih napada koji su koristili ranjivosti u libstagefrightu i mediaserveru", rekao je. “Znamo da je općenito teško dokazati negativno i poštujemo Googleove napore da bolje osigura svoju platformu, ali bez senzora na uređaju, ne postoji način da itko sazna status rizika ili prijetnje bilo kojeg uređaja — posebno a mobilni.”

Problem je u tome što nije lako reći jeste li bili uspješno napadnuti. Nakon otkrića Stagefrighta, zaštitarska tvrtka osnovala je Zimperium Handset Alliance za poticanje komunikacije između istraživača, operatera mobilne mreže, programera mobilnih aplikacija i dobavljača uređaja.

"Istraživače treba potaknuti da istražuju mjesečna sigurnosna ažuriranja i pokušaju iskoristiti te ranjivosti, kako bi se promoviralo bolje krpanje i općenito sigurniji mobilni svijet", rekao je Drake.

Google je poduzeo neke važne korake kako bi smanjio sigurnosne rizike, stavljajući mjesečne zakrpe i razbijajući elemente Android kako biste lakše izbacili ažuriranja. Ali starije verzije Android su ostavljeni iza sebe.

The Problem s fragmentacijom Androida nije lako riješiti. Uvjeravanje prijevoznika i proizvođača da ažuriraju svoje Android uređaja pokazalo se vrlo teškim za Google. To je izravno išlo na ruku opoziciji. Appleov Tim Cook slavno je spominjao a ZDNet članak pod nazivom “Android fragmentacija pretvara uređaje u otrovni pakao ranjivosti” na slajdu na WWDC-u 2014. Ali je li iOS stvarno toliko bolji? I ako je tako, zašto?

“Postojao je dojam da je sigurnost iOS-a superiornija od Android sigurnosti, ali to nije nužno slučaj", rekao je Drake.

Jer Android otvorenog koda, sigurnosnim je istraživačima lakše pronaći nedostatke i predložiti popravke. Zatvorena priroda iOS-a otežava istraživačima da vide što se događa, rekao je. Morgenstern se slaže s ovom procjenom, ali ukazuje na važnu razliku zbog koje zlonamjerni softver predstavlja veći rizik Android.

"Za Android korisnicima, jednostavno je instalirati aplikacije iz bilo kojeg izvora,” objašnjava Morgenstern. “Ova činjenica olakšava dovođenje zlonamjernih aplikacija na uređaj. Način na koji druge platforme to rješavaju puno je stroži, dopuštajući samo instalacije sa svojih zatvorenih tržišta.”

Android je velika meta. S tako velikom bazom korisnika i kodom otvorenog koda, privlačan je plijen za kibernetičke kriminalce. AV-Test registrira do 30.000 novih Android uzoraka zlonamjernog softvera svaki dan. To je zastrašujuća brojka, ali zabrinjavajuća Android korisnici mogu poduzeti radnje dramatično smanjiti rizike pridržavanjem Google Playa za aplikacije, ažuriranjem uređaja čim zakrpe postanu dostupne i korištenjem Android sigurnosne aplikacije trećih strana.

I Drake i Morgenstern također upozoravaju protiv povezivanja na nepoznate mreže i Wi-Fi pristupne točke, barem bez korištenja pristojnog Android VPN aplikacije.

“Naši podaci pokazuju da je većina napada mrežne prirode i da ne prave razliku između iOS-a, Android, ili nešto drugo", objašnjava Drake. “Jednom kada napadač tiho presretne i preusmjeri vaš mrežni promet, svaki uređaj postaje opasno ranjiv na invazivni nadzor, personalizirani podvodni ribolov, isporuka iskorištavanja platforme ili bilo koji broj drugih naknadnih napada.”

Android sigurnost se poboljšava. Možemo ukazati na brža ažuriranja, enkripciju uređaja, zahtjeve za dopuštenja, sandboxing aplikacije za izolaciju aplikacije jedne od drugih, ograničeni pristup resursima i automatsko skeniranje zlonamjernog softvera u Playu Store. Ali očito ima još posla.

"Prošle smo godine platili gotovo milijun dolara istraživačima", rekao je Ludwig iz Googlea, upitan o važnosti istraživanja trećih strana. No unatoč ovom istraživačkom programu, Drake smatra da je potrebno više.

"Poboljšati Android sigurnosti u cjelini, imperativ je da Google bliže surađuje s dobavljačima sigurnosnih usluga,” rekao je. “Apple i drugi dobavljači povećali su suradnju, ali Google ju je smanjio. Googleova je filozofija da oni mogu sve učiniti sami, ali to samo šteti njihovim korisnicima i nažalost koristi autorima zlonamjernog softvera.”

U konačnici, pitanje Android sigurnost se može svesti na uređaj koji koristite. Ako imate telefon star dvije ili tri godine koji pokreće stariju verziju Android i nije ažuriran mjesecima, imate razloga za zabrinutost. Nasuprot tome, vlasnici Googleovih Pixela dobivaju najnovija sigurnosna ažuriranja na vrijeme, barem sljedećih par godina.

Teško je reći koliko će proći prije većine Android uređaji koriste Nougat ili noviju verziju Android, ali čak i tada sporost ažuriranja nekih proizvođača i operatera ostat će problem.

"Sve dok svako ažuriranje ne stigne do svih uređaja, još uvijek smo u opasnosti", rekao je Morgenstern.

Više korisnih savjeta o tome kako se zaštititi možete pronaći na svom Android telefon u našem Sigurnosni vodič za Android.

Preporuke urednika

• Je li zračenje mobitela zapravo opasno? Pitali smo neke stručnjake