Podceňovaná mobilní bezpečnost

23. 12. 2011

Sdílet

 Autor:
Jak je možné, že Hackeři dnes používají stejné techniky, jako proti osobním počítačům před několika lety? Copak jsme se za ty roky nepoučili?

Uživatelé chytrých telefonů, ať už se jedná o běžné uživatele, podnikatele, politiky či filmové hvězdy, se stále častěji stávají cíli útoků hackerů. Většina útočníků přitom není ani nijak zvlášť dobrých, většinou jsou to studentíci, amatéři, občas protistrany soudních pří a dnes dokonce, a to se prosím podržte, také reportéři.



Část viny samozřejmě nesou hlavně koncové uživatelé, nicméně výrobci a prodejci by se také mohli více posnažit. Není to přece nijak nová záležitost. Víme moc dobře, jak se před útoky chránit, máme za sebou již více než dvě desetiletí používání osobních počítačů, instalování antivirových programů a podobně. Proč tedy ignorujeme skutečnost, že se z obyčejných mobilních telefonů staly zmenšené počítače, které vyžadují stejnou, ne li větší úroveň ochrany?



Každý telefon dnes přeci uživateli nabízí možnost nastavení hesla, PIN kódu či vlastního gesta pro odemčení či zapnutí přístroje. Většina uživatelů se ani neobtěžuje nic takového nastavovat, leda by byli donuceni, např. zaměstnavatelem. Tento způsob zabezpečení sice nepředstavuje nijak vysokou úroveň zabezpečení: PIN bývá většinou pouze čtyřmístný a jako gesto si stejně 99% lidí nastaví svislou čáru shoda dolů – jako kdyby tato varianta případného hackera nemohla nikdy napadnout.



Potřeba jednoduchého a rychlého přístupu je celkem pochopitelná. Ani my si nedovedeme představit, že naťukáváme několikamístný kód pokaždé, když zazvoní telefon. Spousta, ne li velká většina uživatelů je ochotna udělat cokoli, aby si zbavila veškerých „otravných“ bezpečnostních funkcí.



Výrobci smartphonů a operátoři by ale mohli pro bezpečnost svých přístrojů také udělat více. Pro začátek by do přístrojů mohli implementovat sledování počtu neúspěšných přihlášení, která by po určité době vedla k dočasnému zablokování přístroje nebo pomalejší odezvě pro další pokud pro přihlášení. Také mnohem dokonalejší software pro rozpoznávání obličeje či gesta rukou by jistě přišel vhod.


Zdá se, že smartphony dnes využíváme za den častěji než osobní počítače a přesto jsou na tom se zabezpečením mnohem hůře než osobní počítače. Jako by v každém smartphonu bylo možné dostat se přes zabezpečení PIN nějakou pochybnou oklikou, která většinou kombinuje nouzové tlačítko, výběr kontaktu a stisk několika dalších kláves. Kdy se vám naposledy podařilo obejít přihlašovací heslo do počítače? A bezpečnostních děr je mnohem více. Obecně se dá říci, že kód mobilních telefonů není tak bezpečný jako jiné kódy.


Nezmínili jsme ještě nic o malware. Přitom je to tak jednoduché. Drtivá většina telefonů umožní aplikaci po nainstalování přístup ke kontaktům a iniciaci zpráv. Jedná se o problém známý již více než deset let. Za prvním skutečně velkým SMS útokem stál červ DoComOm, který napadl miliony telefonů v Japonsku zhruba před deseti lety. Dostalo se nám nespočtu varování a přesto dnes není většina výrobců schopna podobným útokům zabránit. Výrobci by měli více podrobovat své přístroje testům, vypracovávat bezpečnější kódy a implementovat obranné mechanismy.



Ještě více by přitom mohli udělat operátoři. Co takhle například zavést hlasové přihlašování, které by rozhodně bylo bezpečnější než čtyři čísla. Kolika úspěšným útokům by se jen letos dalo předejít pouze díky zavedení delších hesel a blokování účtů? Možná většině.

ICTS24



Netvrdíme, že se o bezpečnost svých výrobků špatně starají všichni výrobci, bohužel velká většina z nich by se mohla starat lépe a více. Snad se dočkáme v roce nadcházejícím.