Otvorenost Androida ima brojne prednosti, no zbog te otvorenosti i npr. mogućnosti skidanja aplikacija i s drugih izvora, a ne samo s Googlea Play, postoji mogućnost skidanja opasnih i nesigurnih aplikacija. Također, zahvaljujući toj otvorenosti i druge kompanije poput mobilnih operatera mogu modificirati kod prije plasiranja uređaja na tržište, a iako takve modifikacije omogućuju raznolikost uređaja i softvera, problem je što one otežavaju redovitu sigurnosnu nadogradnju operativnog sustava.
No, kako su ovog tjedna pokazali sigurnosni istraživači iz kompanije Kryptowire, postoji još jedan veći problem – takve modifikacije mogu uzrokovati propuste u firmwareu i ugroziti sigurnost korisnika, odnosno pametnih uređaja. Naime, kako je to za Wired objasnio izvršni direktor Kryptowirea Angelos Stavrou, veliki broj ljudi i kompanija u nabavnom lancu želi dodati vlastite aplikacije, prilagoditi Android i dodati vlastiti kod, što povećava mogućnost softverske pogreške, ali povećava mogućnost (uspješnih) napada.
Kako bi se iskoristile takve ranjivosti na telefonima, korisnici prvo moraju preuzeti i instalirati aplikacije na pametne telefone, no problem je što takve aplikacije ne bi trebale tražiti neka posebna dopuštenja poput pristupa podacima o porukama ili pozivima, već bi se ti propusti mogli iskoristiti samom instalacijom aplikacija na telefon, bez sumnje korisnika da je riječ o problematičnim/opasnim aplikacijama.
Ukratko, zbog svega navedenog ugrožena je sigurnost kupaca, tj. korisnika telefona jer su njihovi telefoni ranjivi, odnosno nezaštićeni od potencijalnih napadača koji bi mogli iskoristiti takve propuste, a riječ je o zaista opasnim propustima koji bi mogli imati teške posljedice za korisnike – npr. zaključavanje pristupa telefonu vlasnicima uređaja, hakeri bi mogli imati pristup mikrofonu i drugim opcijama smartphonea itd.
Istraživanje koje su proveli sigurnosni stručnjaci Kryptowirea fokusirano je ponajviše na telefone Asusa, LG-a, Essentiala i ZTE-a u ponudi američkih mobilnih operatera. Nakon upozorenja o problemu, ove su kompanije reagirale te je većina njih objavila nadogradnje s kojima bi se ovi problemi trebali riješiti.
No, Stavrou upozorava kako niti takvo rješenje nije uvijek učinkovito jer u procesu nadogradnje moraju sudjelovati i proizvođač telefona, mobilni operater i sam korisnik tako da do instalacije sigurnosne zakrpe na telefon može proći jako puno vremena, a vjerojatno dio samih korisnika neće htjeti nadograditi svoj uređaj novim softverom pa će njihovi telefoni cijelo vrijeme biti ugroženi.
Treba napomenuti kako su Stavrou i njegova ekipa objavili rezultate istraživanja samo za kompanije koje su već pripremile sigurnosne nadogradnje za svoje uređaje te je pitanje koliko su dodatnih propusta još pronašli, a o kojima ne žele govoriti kako ne bi ugrozili korisnike i njihove pametne telefone, piše Zimo.co.
No, kako su ovog tjedna pokazali sigurnosni istraživači iz kompanije Kryptowire, postoji još jedan veći problem – takve modifikacije mogu uzrokovati propuste u firmwareu i ugroziti sigurnost korisnika, odnosno pametnih uređaja. Naime, kako je to za Wired objasnio izvršni direktor Kryptowirea Angelos Stavrou, veliki broj ljudi i kompanija u nabavnom lancu želi dodati vlastite aplikacije, prilagoditi Android i dodati vlastiti kod, što povećava mogućnost softverske pogreške, ali povećava mogućnost (uspješnih) napada.
Kako bi se iskoristile takve ranjivosti na telefonima, korisnici prvo moraju preuzeti i instalirati aplikacije na pametne telefone, no problem je što takve aplikacije ne bi trebale tražiti neka posebna dopuštenja poput pristupa podacima o porukama ili pozivima, već bi se ti propusti mogli iskoristiti samom instalacijom aplikacija na telefon, bez sumnje korisnika da je riječ o problematičnim/opasnim aplikacijama.
Ukratko, zbog svega navedenog ugrožena je sigurnost kupaca, tj. korisnika telefona jer su njihovi telefoni ranjivi, odnosno nezaštićeni od potencijalnih napadača koji bi mogli iskoristiti takve propuste, a riječ je o zaista opasnim propustima koji bi mogli imati teške posljedice za korisnike – npr. zaključavanje pristupa telefonu vlasnicima uređaja, hakeri bi mogli imati pristup mikrofonu i drugim opcijama smartphonea itd.
Istraživanje koje su proveli sigurnosni stručnjaci Kryptowirea fokusirano je ponajviše na telefone Asusa, LG-a, Essentiala i ZTE-a u ponudi američkih mobilnih operatera. Nakon upozorenja o problemu, ove su kompanije reagirale te je većina njih objavila nadogradnje s kojima bi se ovi problemi trebali riješiti.
No, Stavrou upozorava kako niti takvo rješenje nije uvijek učinkovito jer u procesu nadogradnje moraju sudjelovati i proizvođač telefona, mobilni operater i sam korisnik tako da do instalacije sigurnosne zakrpe na telefon može proći jako puno vremena, a vjerojatno dio samih korisnika neće htjeti nadograditi svoj uređaj novim softverom pa će njihovi telefoni cijelo vrijeme biti ugroženi.
Treba napomenuti kako su Stavrou i njegova ekipa objavili rezultate istraživanja samo za kompanije koje su već pripremile sigurnosne nadogradnje za svoje uređaje te je pitanje koliko su dodatnih propusta još pronašli, a o kojima ne žele govoriti kako ne bi ugrozili korisnike i njihove pametne telefone, piše Zimo.co.