Berta Sándor
Új koncepciókra van szükség a mobilok védelméhez
Az Android a világ legelterjedtebb mobil operációs rendszere, azonban a biztonság területén bőven vannak hiányosságai.
"Három évvel ezelőttig gyakorlatilag semmilyen lehetőség sem volt arra, hogy az Android biztonságával kapcsolatban a kutatók, az ipar és a különböző közösségek képviselői egyeztessenek egymással. Mi egy ilyen fórumot akarunk létrehozni, de nem biztos, hogy jövőre is lesz ilyen szimpózium. Mindenesetre az érdeklődés nemzetközi viszonylatban is nagynak mondható, főként azért, mert az operációs rendszer minden szegmensben jelen van és a szakemberek komolyabban veszik a biztonsági kérdéseket. Rengeteg egymástól eltérő kihívás van, például a rosszindulatú programok, az adathalász-támadások és az agresszív reklámhálózatok. Miután a rendszert cégvezetők is használják, így vonzó támadási célpontnak számít." - fejtette ki René Mayrhofer, a bécsi Android Security Symposium nevű rendezvény főszervezője.
"Az eddigi fejlesztések azt mutatják, hogy az Android nyitott koncepcióként működik, de minden nyitottság magában hordozza a problémákat is. Az Apple vagy a Microsoft zárt ökorendszerrel rendelkezik, ezért bizonyos fenyegetéseket jobban ki tudnak védeni. Az Android és az iOS ugyanakkor a biztonsági koncepciókat tekintve közeledett egymáshoz. Az Android biztonsága a használattól függ. Akinek friss rendszere van és csak a szabványos alkalmazásokat telepíti fel a PlayStore kínálatából, az elfogadható kockázatot vállal, hiszen a Google számos fenyegetést kiszűr."
"A legnagyobb fenyegetésnek azok a felhasználók vannak kitéve, akik elég jól ismerik a szoftvert, ahhoz, hogy kísérletezzenek, de nem számítanak biztonsági szakértőknek. Én azt ajánlom, hogy programokat csak a PlayStore kínálatából telepítsen mindenki és el kell kerülni, hogy harmadik fél fizikailag hozzáférhessen a készülékünkhöz. Mindezeken túl az egyik fő problémának azt tartom, hogy az Androidból túl sok verzió érhető el jelenleg és nincs megfelelően biztosítva a frissítések elosztása, ezért a dinamikus hibajavításokon dolgozunk."
A távol-keleti gyártók rengeteg egyedi verziót készítettek az Androidból
A szakember szerint a készülékgyártóknak és a szolgáltatóknak az eddiginél sokkal inkább foglalkozniuk kellene a frissítések kérdésével. Most ott tartunk, hogy egy régebbi Android-változatot futtató okostelefont öt perc alatt teljesen hatalmába keríthet valaki és egyúttal minden adatot ki is olvashat belőle. Persze a fizikai hozzáférés azonban mindig a biztonsági mechanizmusok halálát jelenti és ez minden mobil eszköz esetében igaz.
A mobil biztonság jövőjét a hardvereken alapuló rendszerek jelenthetik. Az operációs rendszerek kerneljei túl bonyolultak és sosem lehetnek hibamentesek. A hardveres védelemre épülő rendszerek sokkal egyszerűbbek és ezért könnyebben is integrálhatók a mobil készülékekbe. Ráadásul úgy biztosíthatók a rendszer fontos részei, hogy nem kell feláldozni a nyitottságot sem. Amennyiben ezt sikerül megvalósítani, már nem lesz fontos az alkalmazások minősége sem és bárki szabadon kísérletezgethet tovább.
"Meg fog növekedni az egy személyre jutó eszközök száma. Napjainkban egy embernek maximum egy tucat készüléket kell kezelnie, azonban személyenként ezer eszközzel már nehéz lesz elboldogulni. A biztonság szempontjából fontos alkalmazások szintén új problémák elé állítanak majd minket. Már a lámpákba beépített processzoroknak is elegendő erejük van a biztonsági funkciók működtetéséhez, kérdéses viszont, hogy ellenállhatnak-e a támadásoknak. Ez egy nagy kihívás és nem tudom, hogy ezt a problémát hogyan oldjuk meg. Bizonyos mobil koncepciókat tovább vihetünk magunkkal, de szükségünk lesz újakra is. Úgy gondolom, hogy az egyszerűség és a robusztusság előbb vagy utóbb fontosabb lesz az egyre több funkciónál, s ezzel párhuzamosan előtérbe fog kerülni a rendszerek automatizált vizsgálata is" - szögezte le az Android Security Symposium nevű főszervezője.
"Három évvel ezelőttig gyakorlatilag semmilyen lehetőség sem volt arra, hogy az Android biztonságával kapcsolatban a kutatók, az ipar és a különböző közösségek képviselői egyeztessenek egymással. Mi egy ilyen fórumot akarunk létrehozni, de nem biztos, hogy jövőre is lesz ilyen szimpózium. Mindenesetre az érdeklődés nemzetközi viszonylatban is nagynak mondható, főként azért, mert az operációs rendszer minden szegmensben jelen van és a szakemberek komolyabban veszik a biztonsági kérdéseket. Rengeteg egymástól eltérő kihívás van, például a rosszindulatú programok, az adathalász-támadások és az agresszív reklámhálózatok. Miután a rendszert cégvezetők is használják, így vonzó támadási célpontnak számít." - fejtette ki René Mayrhofer, a bécsi Android Security Symposium nevű rendezvény főszervezője.
"Az eddigi fejlesztések azt mutatják, hogy az Android nyitott koncepcióként működik, de minden nyitottság magában hordozza a problémákat is. Az Apple vagy a Microsoft zárt ökorendszerrel rendelkezik, ezért bizonyos fenyegetéseket jobban ki tudnak védeni. Az Android és az iOS ugyanakkor a biztonsági koncepciókat tekintve közeledett egymáshoz. Az Android biztonsága a használattól függ. Akinek friss rendszere van és csak a szabványos alkalmazásokat telepíti fel a PlayStore kínálatából, az elfogadható kockázatot vállal, hiszen a Google számos fenyegetést kiszűr."
"A legnagyobb fenyegetésnek azok a felhasználók vannak kitéve, akik elég jól ismerik a szoftvert, ahhoz, hogy kísérletezzenek, de nem számítanak biztonsági szakértőknek. Én azt ajánlom, hogy programokat csak a PlayStore kínálatából telepítsen mindenki és el kell kerülni, hogy harmadik fél fizikailag hozzáférhessen a készülékünkhöz. Mindezeken túl az egyik fő problémának azt tartom, hogy az Androidból túl sok verzió érhető el jelenleg és nincs megfelelően biztosítva a frissítések elosztása, ezért a dinamikus hibajavításokon dolgozunk."
A távol-keleti gyártók rengeteg egyedi verziót készítettek az Androidból
A szakember szerint a készülékgyártóknak és a szolgáltatóknak az eddiginél sokkal inkább foglalkozniuk kellene a frissítések kérdésével. Most ott tartunk, hogy egy régebbi Android-változatot futtató okostelefont öt perc alatt teljesen hatalmába keríthet valaki és egyúttal minden adatot ki is olvashat belőle. Persze a fizikai hozzáférés azonban mindig a biztonsági mechanizmusok halálát jelenti és ez minden mobil eszköz esetében igaz.
A mobil biztonság jövőjét a hardvereken alapuló rendszerek jelenthetik. Az operációs rendszerek kerneljei túl bonyolultak és sosem lehetnek hibamentesek. A hardveres védelemre épülő rendszerek sokkal egyszerűbbek és ezért könnyebben is integrálhatók a mobil készülékekbe. Ráadásul úgy biztosíthatók a rendszer fontos részei, hogy nem kell feláldozni a nyitottságot sem. Amennyiben ezt sikerül megvalósítani, már nem lesz fontos az alkalmazások minősége sem és bárki szabadon kísérletezgethet tovább.
"Meg fog növekedni az egy személyre jutó eszközök száma. Napjainkban egy embernek maximum egy tucat készüléket kell kezelnie, azonban személyenként ezer eszközzel már nehéz lesz elboldogulni. A biztonság szempontjából fontos alkalmazások szintén új problémák elé állítanak majd minket. Már a lámpákba beépített processzoroknak is elegendő erejük van a biztonsági funkciók működtetéséhez, kérdéses viszont, hogy ellenállhatnak-e a támadásoknak. Ez egy nagy kihívás és nem tudom, hogy ezt a problémát hogyan oldjuk meg. Bizonyos mobil koncepciókat tovább vihetünk magunkkal, de szükségünk lesz újakra is. Úgy gondolom, hogy az egyszerűség és a robusztusság előbb vagy utóbb fontosabb lesz az egyre több funkciónál, s ezzel párhuzamosan előtérbe fog kerülni a rendszerek automatizált vizsgálata is" - szögezte le az Android Security Symposium nevű főszervezője.