ŠEf Android sigurnosnog sustava: mobitelni napadi dolaze

"OS smartphone će postati glavni sigurnosni cilj", izjavio je Rich Savjetnik za sigurnost Usenix. Napadači mogu već pogoditi milijune žrtava napadom smartphonea, a uskoro će taj broj biti još veći. "Osobno mislim da će to postati epiphany za autore zlonamjernog softvera", rekao je.

Microsoftov operacijski sustav Windows danas je glavni cilj kaznenih napada, a hakeri su uglavnom izbacili mobilne uređaje. Sigurnosni stručnjaci kažu da je to zbog toga što mobilni telefoni tradicionalno ne pohranjuju puno osjetljivih podataka, i zato što postoji toliko različitih naprava za napad, teško je stvoriti jedan virus koji može zaraziti velik broj korisnika.

To se može mijenjati sve više ljudi počinje upotrebljavati iPhone, BlackBerries i - Google se nada - telefone s Androidom kao što je Samsung I7500.

Google je kasno na tržište s iPhone konkurentom - prvi Android sustav isporučen u listopadu 2008 - ali tvrtka se nada da će napraviti teren čineći svoju platformu više otvoren i privlačan razvojnim programerima. Android koristi komponente otvorenog koda, a Google postavlja manje ograničenja na proizvođače uređaja i aplikacijske programere od Apple.

Na primjer, Apple mora prvo odobriti bilo koju aplikaciju prije nego što se može sadržavati u trgovini iPhone. Google ne primjenjuje takva ograničenja na svom Android Marketu.

Ovaj otvoreni pristup sigurnosti dodatno se odražava u činjenici da je Canningsu čak i dopušteno da prvo govori o sigurnosti Androida. Proizvođači mobilnih telefona tradicionalno su ukočeni oko svojih sigurnosnih strategija.

Googleova otvorenost daje razvojnim inicijatorima veću slobodu za inovaciju, ali se također može zloupotrijebiti. "Željeli smo razvojnim programerima da mogu prenijeti svoje aplikacije bez da ih netko zaustavi od toga", rekao je Cannings. "Nažalost, to nam otvara zlonamjerni softver."

Google pokreće aplikaciju Honeypot - računalo postavljeno testnim verzijama Androida - za provjeru programa Android Market, ali je također napravila i izmjene načina na koji Androidov operativni sustav Linux pokreće aplikacije kako bi stvari bile sigurnije. Svaka aplikacija traje unutar onoga što Cannings naziva "aplikacijskim sandboxom", virtualnim strojnim okruženjem u kojem program ne može nerediti s drugim programima na telefonu.

Aplikacije daju pristup dijelovima sustava koji im trebaju, ali oni su blokirani od drugih dijelova sustava.

Android ima primjerice proces medijskog poslužitelja koji može pisati na zaslon telefona i koristiti zvučnu karticu, ali ne može učiniti stvari kao što je pristup telefonskom pregledniku ili Bluetooth vezu.

Taj se pristup isplatio prošle veljače kada je istraživač sigurnosti Charlie Miller pronašao bug u načinu na koji Android igra MP3 datoteke, rekao je Cannings. Na mnogim drugim operativnim sustavima ova vrsta bugova može se koristiti za pokretanje neovlaštenog softvera na računalu, ali Androidov aplikacijski sandbox ograničio je ono što bi moglo poći po zlu.

Miller je nedavno otkrio ozbiljan nedostatak načina na koji su iPhone i Android ali utjecaja ranjivosti nije bila toliko ozbiljna na Androidu, rekao je sigurnosni istraživač.

Ipak, iPhone ima neke važne sigurnosne značajke koje nedostaju u Androidu, dodao je Miller. Appleov sofisticirani sustav zaštite memorije i njegov zahtjev da iPhone kod mora biti digitalno potpisan su i moćne sigurnosne značajke. No, Androidov sandboxing "otežava život hakeru", rekao je.

Kad je u veljači pregledao Android, Miller nije pronašao ništa sigurnije od iPhonea, ali neki stručnjaci za sigurnost misle da Google ima prednost.

"Google je ispred naprijed u sigurnosnoj igri, čak i ako je Apple vodeći na tržišnom udjelu", izjavio je Alex Halderman, pomoćnik profesora elektrotehnike i računarstva na Sveučilištu Michigan. On vjeruje da će Googleov otvoreniji pristup tvrtki dati "veliku konkurentsku prednost", a Android će dati prednost ako je Apple prisiljen otvoriti platformu.

"Googleov sustav je dizajniran tako da je aplikacija koja je slomljena može učiniti manje ozljeda ", rekao je.