Přejít k hlavnímu obsahu

Mobilní viry: I váš telefon může být cílem

NA DVD

Zkušební verze mobilních antivirů najdete na Chip DVD pod indexem Antiviry.
Při volbě antiviru berte v úvahu operační systém na vašem mobilním zařízení.

Mobilní viry: I váš telefon může být cílem

Krádeže dat, drahé SMS, hledání citlivých dat: autoři virů se stávají "mobilními" a svou pozornost zaměřují na smartphony. Vhodný systém ochrany závisí na operačním systému mobilu – a také na vás…
FREDERIK NIEMEYER, PETR KRATOCHVÍL

Tvůrci malwaru oslavili v březnu tohoto roku svůj první velký úspěch: bezpečnostní experti nalezli v Android Marketu více než padesát nebezpečných aplikací, které během několika dnů infikovaly asi 200 000 zařízení. Mezi rizikové aplikace patří především systémové nástroje, hry a pornoaplikace. Osobní údaje získané z telefonů (například identifikační údaje zařízení IMEI/IMSI) putovaly na servery v Rusku a Číně.
Několik zkušenějších hackerů však již dokáže z telefonu dostat více než jen "pouhá čísla". Například malware AndroidOS/Fakeplayer.A dokáže pomocí automatického odesílání Premium SMS zpráv pořádně "zahýbat" s účtem za telefon.
Na druhou stranu, trojský kůň Android/Adrd.A, stejně jako iPhone červ iKee.B, na první pohled se smartphonem nic neudělá, "pouze" ho zapojí do systému tzv. Command& Control serverů a integruje ho do botnetu. Tento přístroj pak začne bez vašeho vědomí posílat spam, který se podílí na DDoS útocích na internetové stránky. Navíc se do přístroje začne instalovat další škodlivý software, například keylogger, který zachycuje vstupní data a dokáže odcizit i vaše přístupové údaje k mobilnímu on-line bankovnictví.
V Evropě působí tito škůdci zatím v omezené míře – hlavním důvodem je dosud malý podíl smartphonů mezi uživateli. Radovat se je však poněkud předčasné – i u nás lze narazit na velké množství mobilního malwaru, ovšem zatím v "neozbrojené" verzi. Podle odborníků jde o "zkušební provoz", při kterém si hackeři připravují a testují svou infrastrukturu.
A jaké systémy jsou v hledáčku hackerů? Aktuální jedničkou je momentálně mobilní Android, který je díky velkému podílu na trhu (okolo 30 procent) lákavým cílem. Naopak stranou pozornosti je OS BlackBerry, který díky zanedbatelnému podílu na trhu hackeři téměř ignorují. V poněkud rozporuplné situaci je Symbian, jehož podíl na trhu sice výrazně klesl (především u dražších smartphonů), ale díky rozmachu levnějších přístrojů se stále drží v hledáčku zájmu uživatelů i hackerů. K rizikovým systémům lze přiřadit i Apple iOS, a to vzhledem k celé řadě bezpečnostních problémů. Příkladem může být nedávná mezera ukrytá v aplikaci PDF Reader v prohlížeči Safari, pomocí které mohou hackeři získat přístup k zařízení – stačí jen navštívit vhodně upravené webové stránky. Tyto stránky mohou provést "jailbreak" zařízení a do přístroje může nepozorovaně proniknout malware. Na druhou stranu je nutné přiznat, že Apple řeší tyto problémy většinou v relativně krátké době – například popsaný problém byl uzavřen v iOS 4.3.4. Pro autory malwaru je obecně obtížnější proniknout do iOS nebo Androidu, protože jak Apple, tak například Google vyvinuly účinné ochranné techniky. Mezi ně patří například digitální certifikáty, omezená povolení a izolace aplikací od jádra i od jiných aplikací. Malware tak díky těmto ochranám může získat jen omezený přístup do systému.
Přístupy obou firem jsou v tomto případě podobné, i když způsoby realizace jsou zcela rozdílné. A právě tyto rozdíly mají podstatný vliv na bezpečnost systému (viz tabulka vlevo).
Útočníkům znesnadňuje práci především často kritizovaný uzavřený "ekosystém". Velmi důležité jsou zde digitální certifikáty, kterými Apple podepisuje aplikace. Ty totiž zaručují pravost a legitimitu aplikace, která může přijít jen z oficiálního ochodu App Store. Hackery může odradit nejen to, že za registraci do programu Developer iOS zaplatí asi 100 dolarů, ale také to, že Apple kontroluje před přidáním do App Store všechny aplikace na výskyt škodlivého kódu. Vzhledem k počtu nových žádostí však není úplně jasné, jak důkladně provádí Apple analýzy těchto programů. Pokud by ale aplikace se "zlými úmysly" dokázala projít zkouškou, je Apple schopen tuto aplikaci odstranit pomocí vzdáleného přístupu k infikovanému zařízení.

Izolovaně: iOS aplikace v sandboxu

Apple navíc používá metodu izolace, která v praxi funguje stejně jako v autě bezpečnostní pásy: iOS zná jen úroveň uživatele "root" a "mobilní". Aplikace funguje v sandboxu na "mobilní" úrovni se silně omezenými právy: nemá přístup k dalším aplikacím, má zákaz měnit jádro nebo spouštět privilegované procesy, které by iOS nemohl kdykoliv ukončit pro uvolnění paměti.
Protože však vývojáři iOS pracují v programovacím jazyku "Objektive C", jsou aplikace náchylné k přetečení zásobníku a podobným útokům. Zde ale Apple využívá technologii ochrany paměti od ARM, lídra mezi výrobci procesorů. Technologie XB (exekute Never) sice neposkytuje dokonalou ochranu, ale minimálně ztěžuje hackerům pokusy o útok…
V případě úspěšného útoku získá hacker "vládu" nad aplikací a tím i přístup ke všem rozhraním aplikace (kterých obvykle není málo).
Podle společnosti Symantec může aplikace v iOS teoreticky získat přístup do těchto oblastí: připojení k síti, adresář a kalendář, identifikační číslo (IMEI) a telefonní číslo zařízení. Samozřejmostí je přístup k fotografiím, videím, hudbě a historii procházení. Dokonce je možné v tajnosti aktivovat i mikrofon a kameru. Aplikace může získat i přístup k e-mailovému klientu. Jedinou výjimkou jsou SMS a telefonní hovory – tady vždy musí uživatel "službu" odsouhlasit.

Nebezpečný: iPhone jailbreak

Dalo by se říci, že App Store tvoří jakýsi firewall pro iOS. Nicméně tuto "ochranu" efektivně a zcela prolomí jailbreak. Ten původně sloužil pouze k překonávání omezení iPhonu, obejití certifikačních metod Applu a také sandboxu – to umožnilo uživatelům používat nejen schválené aplikace z oficiálních zdrojů, ale také například programy crackerských obchodů (viz dole). Z toho důvodu však může být škůdci ohrožen celý systém – žádná z těchto aplikací nebyla zkontrolována, navíc po "jailbreaku" získává přístup do všech oblastí systému. V některých případech může jailbreak přidat do systému další "díry": červ pro iPhone (známý jako IKEE) infikuje zařízení uživatelů, kteří po jailbreaku nezměnili výchozí heslo pro nástroj SSH. Červ se poté šíří přes Wi-Fi.
V operačním systému Android je něco podobného nemožné. I zde můžete provést jakýsi "jailbreak" či získat "root" práva, ale není to tak riskantní jako v iOS, protože i v tomto režimu vyžaduje zařízení certifikáty. Navíc zde zůstává beze změn proces izolace a podobně jako ve Windows UAC (kontrola uživatelských práv) je zde uživatel varován před nebezpečnými "operacemi" v systému. Jinými slovy, i zde může malware ohrozit citlivé oblasti systému, musí ale nejprve požádat o svolení uživatele.
Mnohem "citlivější" oblastí v OS Android jsou digitální certifikáty. Vzhledem k tomu, že není možné kontrolovat zdroje aplikací, může certifikaci získat téměř kdokoliv. Certifikáty by tedy ve skutečnosti měly sloužit spíše k jinému účelu – k identifikaci známých aplikací, čímž lze zabránit hackerům k rozšíření jejich infikovaných verzí. To je ale špatný způsob ochrany, protože každý vývojář pro Android (který nevyužívá oficiální market) si může vytvořit vlastní certifikát, a uživatel jen velmi obtížně zjišťuje, který z certifikátů je "pravý". Také proto lze na webu často narazit na malware tvářící se jako známé a běžně používané aplikace.

Důležité: Zkontrolujte si práva aplikace

Lepší ochranu poskytuje Androids Rights Management (ARM). Vývojář musí do souboru "AndroidManifest.xml" zadat požadovaná oprávnění. Před instalací systém soubor načte a požádá uživatele o potvrzení požadovaných práv. To může zahrnovat například nebezpečné "nerušené" odesílání SMS zpráv. Tyto tipy ale není možné "zjednodušovat" na rovnici typu "aplikace má certifikát a používá ARM, není to tedy malware"! Téměř všechen malware se totiž maskuje jako obyčejná aplikace ( - str. 87).
Z hlediska bezpečnostních aspektů je právě otevřenost platformy Android jejím největším nedostatkem. Nepříjemné je také to, že systém autorizací není modulární: pro uživatele to tedy znamená "buď všechno, nebo nic". A i to je důvod, proč Google bude muset aplikace na trhu mnohem více a lépe kontrolovat.
I když se škůdce dostane do systému Android, získá pouze omezená práva. Každá aplikace zde totiž běží s vlastním identifikací v izolovaném prostředí, v tzv. Dalvik Virtual Machine. K linuxovému jádru zde nemůže získat přímý přístup ani škodlivý kód, ani běžná aplikace.
Díky této segregaci nemá běžný trojský kůň pro Android šanci například číst data bankovní aplikace. Nicméně aplikace pro Android může zjistit, které další programy jsou nainstalovány v systému a kdy jsou procesy aplikací spuštěny. Inteligentní virus tak může například čekat na spuštění známé bankovní aplikace a poté na zmanipulované přihlašovací stránce k bankovnictví získat požadovaná data. V systému iOS podobné riziko nehrozí – zde aplikace nemůže vidět, co dělá jiná. Přestože je však tento typ útoků zatím jen teorií, doporučujeme nepoužívat pro internetové bankovnictví smartphone.
Pro odstranění škodlivého softwaru na platformě Android ho stačí obvykle jen odinstalovat. Zde se totiž díky zmiňované izolaci nemůže šířit podobně jako viry na PC platformě. Některé bezplatné programy z "marketu" lze dokonce na dálku odinstalovat. Určité trojské koně však dokážou následně načíst kód z jiných zdrojů a tak se stát vůči těmto postupům imunní. Ještě nebezpečnější je malware, který dokáže využít kritických bezpečnostních mezer. Například trojský kůň DroidDream, který byl nalezen ve více než padesáti aplikacích na oficiálním Android marketu, využívá pro získání oprávnění správce dvou root exploitů (exploid a rageagainstthecage).
V důsledku toho pak škodlivé aplikace nevyžadují žádné další povolení pro instalace. Například DroidDream má díky tomuto postupu zcela "volné ruce" a bez problémů instaluje do smartphonu další škodlivý kód. Nakonec ještě kontaktuje řídicí server, odešle mu identifikační údaje zařízení, a smartphone se stává součástí botnetu. Zmiňované bezpečnostní mezery sice Google v operačním systému Android 2.3 uzavřel, přesto existuje obrovské množství přístrojů využívajících předchozí verzi systému, která chráněna není.

Bezpečnostní nástroje pro mobilní telefony

Vzhledem k vyjmenovaným rizikům určitě uživatele napadne nutnost použití antivirů. Fakt ale je, že jakmile už u smartphonu dojde k ohrožení jádra, s hrozbou si neporadí ani bezpečnostní programy, protože i tyto nástroje jsou spuštěny pouze s omezenými právy v samostatných prostředích. Bezpečnostní nástroje ale mohou zabránit instalaci známých škůdců. Tito pomocníci jsou na většině mobilních platforem závislí na detekci na základě signatur, protože je v tomto prostředí použití "proaktivních" metod téměř vyloučené. Jen velmi obtížně by se zde určovala hranice mezi "zvědavou" a jasně škodlivou aplikací.
Někteří výrobci bezpečnostních nástrojů (jako například F-Secure a Symantec) i nadále usilují o preventivní ochranu: "Kontrolujeme všechny aplikace na Android Marketu na přítomnost škodlivého softwaru," říká Stefan Wesche, bezpečnostní expert společnosti Symantec.
Celá řada bezpečnostních programů také (kromě ochrany před viry) nabízí i jiné praktické funkce. Abyste například ochránili svá data (v případě odcizení či ztráty telefonu), můžete smartphone najít pomocí GPS, zablokovat ho nebo rovnou vymazat citlivá data.
Pro iOS nejsou k dispozici žádné klasické malwarové skenery, protože systém je považován za bezpečný. S tím lze souhlasit, pokud bude i nadále Apple pozorně kontrolovat programy (a pokud uživatel neprovede jailbreak). Nicméně i v Apple App Store můžete najít speciální nástroj pro prohlížeč – Trend Micro Smart Surfing, který vás při surfování chrání tak, že blokuje phishingové a nebezpečné webové stránky. Dokonce ani s operačním systémem Android se nemusíte stresovat, pokud budete před instalací aplikace kontrolovat její oprávnění. Pokud však bude Google i nadále ignorovat malware na Android Marketu, může být situace brzy vážnější.
AUTOR@CHIP.CZ


Jak jsou mobilní systémy (ne)bezpečné
Bezpečnostní funkce | Apple iOS | Google Android
Ověření aplikací
Jak bezpečné jsou aplikace a softwarové zdroje? | 4:0 | 1:3
Izolace aplikací
Jak snadno může malware proniknout do systému? | 2:2 | 3:1
Přístupová práva aplikací
Jak efektivně brání správa práv odcizení dat? | 2:2 | 2:2
Šifrování souborů
Jak jsou chráněny flash a SD paměti? | 3:1 | 1:3
Výsledek:
IOS je bezpečnější, především díky "čistému" App storu. Android izoluje aplikace efektivně, je ale také více otevřený, a proto i zranitelnější než iOS.


INTERVIEW
V případě pochybností řekněte "Ne"
Andreas Marx, manažer laboratoře AV-Test
Do jaké míry je na smartphonech rozšířen malware a kam hacker směřuje?
Pro platformu Windows se každý den objevuje více než 55 000 nových virů a malwaru. Pro Android a iOS pouze dva až tři. Rizika tu tedy jsou, ale mnohem více ohroženy jsou v současné době systémy s OS Windows, protože jsou pro hackery lukrativnější. Přesto se očekává, že zločinci intenzivně pracují na nových "obchodních modelech" pro smartphony.
Poskytují bezpečnostní balíky spolehlivou ochranu před současnými riziky?
V současné době se vyvíjejí stále nové bezpečnostní nástroje pro smartphony, ty ale mají zároveň pouze omezený přístup k systému. Jejich využití je rozumné především pro vedlejší bezpečnostní aspekty: ochrání data, když je telefon ztracen nebo odcizen.
Znamená to, že bezpečnostní aplikace pro smartphony nejsou v současné době tak důležité?
V současné době pro instalaci takovýchto ochranných programů neexistují "technické důvody". My doporučujeme tato bezpečnostní opatření:
1. Pravidelné aktualizujte operační systém.
2. Dávejte pozor, komu dáváte přístup ke svým datům.
3. U platformy Android věnujte pozornost tomu, jaká práva příslušná aplikace požaduje. V případě pochybností řekněte "ne" a program nepoužívejte


Mobilní bezpečnostní balíky pro Android
Malwarové skenery pro iOS nejsou k dispozici, protože Apple všechny aplikace kontroluje. Funkční rozsah ochrany bezpečnostních programů pro Android je různý: G-Data nabízí pouze ochranu proti malwaru, jiné aplikace (jako AVG Anti-Virus Pro) pomáhají také v případě ztráty či odcizení mobilního zařízení.

Foto: Kopie Mnoho trojských koní pro operční systém Android se snaží maskovat jako běžný software
Foto: Nebezpečné aplikace V některých internetových obchodech s aplikacemi lze narazit i na skrytý malware.
Foto: Bezpečněji pro Android Některé bezpečnostní nástroje nabízí kromě ochrany systému i dodatečné funkce pro zabezpečení dat.