Δείτε στο νέο μας Βίντεο: «Η Sony συνεχίζει να κάνει τα... δικά της | Game Recap #157»

Ασφάλεια σε iOS και Android

Σύμφωνα με την κοινή γνώμη, οι συσκευές iPhone και iPad θεωρούνται πιο ασφαλείς από τα Android, όμως η έρευνα της Marble Security δεν συμφωνεί και έρχεται να αλλάξει τον τρόπο με τον οποίο σκεφτόμαστε. Η έρευνα εστιάζει στον κίνδυνο του λειτουργικού συστήματος, των δικτύων και των εφαρμογών στις επιχειρήσεις. Ο κίνδυνος πολλαπλασιάζεται όταν οι επιχειρήσεις εφαρμόζουν την πολιτική BYOD, Bring Your Own Device. Με άλλα λόγια οι επιχειρήσεις επιτρέπουν τους υπαλλήλους να έχουν πρόσβαση σε δεδομένα, εσωτερικές ιστοσελίδες και cloud υπηρεσίες από το δικό τους laptop, PDA, Smartphone και γενικά οποιαδήποτε άλλη συσκευή πέρα από αυτή που παρέχει ο εργοδότης. Πολλοί αναλυτές αναφέρονται σε αυτή την μόδα ως BYOT, δηλαδή Bring Your Own Threat, καθώς οι καθημερινές συσκευές δεν εφαρμόζουν τα αυστηρά πρωτόκολλα ασφαλείας που υιοθετούν οι επιχειρήσεις. Το iOS είναι μεν λιγότερο επικίνδυνο σε σχέση με το Android, όμως το να παρέχεις απεριόριστη πρόσβαση σε εταιρικές πηγές εγκυμονεί αρκετά ρίσκα, άσχετα με το λογισμικό που τρέχει μια συσκευή. Στην έρευνα αναφέρεται πως τα λειτουργικά είναι εγγενώς επικίνδυνα χωρίς κάποιο να υπερτερεί σε ασφάλεια. Σε αυτό που υπερτερεί η Apple είναι το γεγονός ότι ελέγχει τον διαμοιρασμό του λειτουργικού και των εφαρμογών που, κατ’ επέκταση, δημιουργεί ένα πιο ασφαλές περιβάλλον. Και τα δύο λειτουργικά διαθέτουν καλό app sandboxing, μειώνοντας την πιθανότητα μια εφαρμογή να μολύνει ή να επιτεθεί μία άλλη. Το sandbox είναι ένας μηχανισμός ασφαλείας που ουσιαστικά ξεχωρίζει τις εφαρμογές που τρέχουν και τις απαγορεύει να ενημερώσουν τον κώδικα άλλων προγραμμάτων. H μεγάλη διαφορά μεταξύ των λειτουργικών συστημάτων είναι πως το Android είναι ένα περισσότερο ανοικτό λειτουργικό περιβάλλον και επιτρέπει πιο εύκολα τους χρήστες να κατεβάσουν εφαρμογές από app stores που διαθέτουν φτωχή, ή και μηδαμινή, ανάλυση εφαρμογών και διαδικασίες λεπτομερούς εξέτασης. Επιπλέον, το Android OS υποφέρει από κατακερματισμό. Μια έρευνα της OpenSignal.com υπολόγισε πως υπάρχουν τουλάχιστον 11.868 διαφορετικοί τύποι συσκευών που τρέχουν μυριάδες διαφορετικές εκδόσεις του λογισμικού.

Screenshot 2014-08-01 23.08.27

Οι εκδόσεις βρίθουν από κενά ασφαλείας, παλιά patch, μη ασφαλείς ρυθμίσεις και τρωτές εργοστασιακές εφαρμογές. Ακόμα, πολλοί πιστεύουν πως τα iOS μπορούν να λάβουν εφαρμογές μόνο από το app store της Apple. Στην πραγματικότητα, είναι δυνατό οι χρήστες να κατεβάσουν και από επιχειρησιακά app marketplaces, δοκιμαστικές εφαρμογές καθώς και από πολλά προγράμματα που προσφέρουν περιορισμένες δοκιμαστικές εκδόσεις εφαρμογών με ένα κλικ. Ταυτόχρονα, οι Android χρήστες έχουν το δικαίωμα να προμηθευτούν εφαρμογές από δεκάδες ηλεκτρονικά καταστήματα, όπως Google Play, Amazon, 1Mobile, Appia, CNET, Opera Mobile App Store,Yandex και πολλά ακόμα. Δεν κάνουμε λόγο για rooted ή jailbroken συσκευές, καθώς οι πηγές από τις οποίες μπορούν να λάβουν εφαρμογές είναι θεωρητικά αμέτρητες. Αυτό βέβαια σημαίνει άσχημα νέα για τις επιχειρήσεις. Στον παρακάτω πίνακα φαίνονται οι ευπάθειες που κρύβουν τα δύο λογισμικά, σύμφωνα με τους μελετητές.

Screenshot 2014-07-31 21.45.37

Οι φορητές πλατφόρμες είναι εξίσου εκτεθειμένες σε phishing, spear-phishing, SMS-phishing και app-phishing, διότι δεν παρέχουν προστασία σε αυτές τις συνεχώς μεταβαλλόμενες απειλές. Για την ακρίβεια το BYOD έχει εκθέσει τις επιχειρήσεις με περισσότερες στοχευμένες επιθέσεις από ποτέ. Αυτό συμβαίνει γιατί οι εργαζόμενοι μπορούν να μπουν στο επίκεντρο μέσω εταιρικά email, προσωπικά email, γραπτά μηνύματα και κακοήθεις εφαρμογές που οδηγούν τους χρήστες σε phishing sites. Έρευνες έχουν αποδείξει πως οι χρήστες με φορητές συσκευές είναι τρεις φορές πιο ευάλωτοι σε επιθέσεις phishing από αυτούς που βρίσκονται σε εταιρικά δίκτυα ή από μία εταιρική συσκευή. Η εξήγηση είναι αρκετά απλή. Οι χρήστες διαχειρίζονται πολλαπλούς λογαριασμούς ηλεκτρονικού ταχυδρομείου από την συσκευή τους ενώ παράλληλα απουσιάζουν οι anti-phishing μηχανισμοί για να προστατεύονται. Προσθέτως, το μέγεθος της οθόνης δυσκολεύει την ανάγνωση των URL και συνεπώς τον καθορισμό αν αποτελεί δόλωμα ή όχι. Να σημειωθεί πως τα δολώματα Phish μπορούν να σταλθούν μέσω email αλλά και μέσω SMS. Η Marble Labs κατάφερε να αναλύσει 1.2 εκατομμύρια iOS και Android εφαρμογές, ώστε να υπολογιστεί ο κίνδυνος σε κάθε λειτουργικό. Η ανάλυση περιλάμβανε 3 σημεία:

– Δηλωτική ανάλυση: Τι αναφέρει μια εφαρμογή πως θα κάνει. Αυτό εφαρμόστηκε για τον υπολογισμό ρίσκου σε Android περιβάλλον.

– Στατική ανάλυση: Τι μπορεί να κάνει ο κώδικάς της εφαρμογής.

– Δυναμική ανάλυση: Όταν τρέχει σε περιβάλλον χρήστη, τι κάνει στην πραγματικότητα, σε τι δεδομένα έχει πρόσβαση, τι δεδομένα στέλνει και που τα στέλνει.

Για λόγους ευκολίας, κάθε app store δεν έχει τις ίδιες κατηγορίες, οι εφαρμογές ταξινομήθηκαν στις εξής ομάδες:

Screenshot 2014-08-01 23.21.40

Οι αναλυτές εξέτασαν κάθε κατηγορία για να βρουν ποια εφαρμογή παρουσίασε την ποιο απρόβλεπτη και επικίνδυνη συμπεριφορά. Η επικίνδυνη συμπεριφορά βασίζεται σε μία ανάλυση εκατοντάδων συμπεριφορών που μπορεί να παρουσιάσει, σε σύγκριση με άλλες εφαρμογές στην ίδια κατηγορία. Η επικινδυνότητα  υπολογίζεται από τον Marble Mobile Risk Score (MMRS), ένας δείκτης που όσο μεγαλύτερος είναι τόσο πιο επικίνδυνη είναι μια εφαρμογή. Για παράδειγμα το WhatsApp έχει χαμηλό MMRS γιατί διαχειρίζετε από μια σχετικά αξιόπιστη εταιρία. Αντίθετα, παρόμοιες εφαρμογές επικοινωνίας που συλλέγουν πληροφορίες του χρήστη, χωρίς αξιόπιστο ιστορικό και καθόλου κριτικές από τους χρήστες, θα λάβουν πολύ υψηλότερο MMRS. Τα αποτελέσματα κάθε κατηγορίας εξελίχθηκαν ως εξής.

Screenshot 2014-08-03 22.14.27

Στο Android, οι κατηγορίες με την υψηλότερη ριψοκίνδυνη συμπεριφορά ήταν οι κοινωνικής δικτύωσης, παραγωγικότητας και επιχειρηματικότητας. Παράλληλα, στο iOS οι αντίστοιχες κατηγορίες ήταν τα παιχνίδια, νέα, παραγωγικότητα και υγεία και φυσική κατάσταση. Οι πληροφορίες που συλλέγουν οι εφαρμογές μπορεί να είναι από βάσεις δεδομένων με εργαζόμενους, μέχρι και λεπτομέρειες της συσκευής, τοποθεσίες και πιστοποιητικά αυθεντικότητας. Πολλές φορές οι δημιουργοί προσθέτουν βιβλιοθήκες για διαφημίσεις, διαχείριση επιδόσεων, εντοπισμό του χρήστη και άλλες λειτουργίες και δεν έχουν γνώση για το πως οι συλλεγμένες πληροφορίες προστατεύονται, επαναχρησιμοποιούνται, πωλούνται ή στοχεύονται. Ως ένα σημείο, δεν φέρουν ευθύνη για τις πληροφορίες που αποκτούνται παράνομα, όσο οι προγραμματιστές πίσω από τις βιβλιοθήκες, όμως φέρουν ευθύνη για την ποιότητα των εφαρμογών που προσφέρουν και την αξιοπιστία τους. Περισσότερες πληροφορίες σχετικά με τις βιβλιοθήκες και την ασφάλεια στο Android έχει εδώ. Κλείνοντας, να τονίσουμε πως κανένα από τα δύο λογισμικά δεν είναι ασφαλή. Μόνο το iOS είναι λιγότερο επικίνδυνο, αλλά όταν πρόκειται για εταιρικά δεδομένα η διαφορά είναι αμελητέα. Βέβαια αυτό δεν σημαίνει πως οι απλοί χρήστες βρίσκονται εκτός κινδύνου ή ότι δεν έχουν τίποτα να χάσουν. Θεωρητικά, δεν θα επιτρεπόταν η δημιουργία ‘ύπουλων’ εφαρμογών από τις εταιρίες που διαχειρίζονται τα μεγάλα λογισμικά, μήπως όμως έχουν και αυτές κάποιο συμφέρον; Μήπως πιέζονται από οργανισμούς και κυβερνήσεις ή μπορεί να το κάνουν ακόμα και οικειοθελώς, όπως με το Google+;

 

Μην μένεις σιωπηλός, σχολίασε και πες την άποψή σου ακριβώς παρακάτω!