10 milionów szkodliwych aplikacji mobilnych

Przeczytaj także: 10 lat złośliwego oprogramowania na urządzenia mobilne

Szkodnik po polsku...

Szkodliwe programy wysyłające SMS-y na numery premium nie są jedynie domeną dużych państw, takich jak Rosja czy USA. Także Polska załapała się na aplikację, która pobiera dodatkowe opłaty – wyłącznie od polskich użytkowników. Vidro, bo tak się nazywa szkodnik, to aplikacja mająca w założeniu serwować treści pornograficzne dla osób posiadających telefon z systemem Android.

Działanie Vidro było dość proste. W czasie przeglądania stron pornograficznych poprzez tablet lub smartfon, użytkownik mógł trafić na witrynę, która oferowała filmy przeznaczone na urządzenia mobilne.

Jednak po kliknięciu odnośnika "watch now" (oglądaj), użytkownik był przekierowywany na inną stronę, gdzie należało pobrać aplikację. Użytkownik był dodatkowo kuszony możliwością nielimitowanego oglądania filmów o określonej tematyce.

Ofiara jest nawet instruowana, w jaki sposób ma pobrać aplikację i zezwolić systemowi na instalację plików z nieznanych źródeł (tak jak wspominałem wcześniej, domyślnie ta opcja jest zablokowana, ale wystarczy kilka kliknięć, by zmienić ten fakt). Przy uruchomieniu programu, pojawia się komunikat, w którym użytkownik musi zaakceptować regulamin... którego nie ma!

Aplikacja nie posiada żadnej umowy EULA, ani warunków korzystania z serwisu, ale nawet gdyby one istniały, to nie został podany żaden link, pod którym można regulamin przeczytać. Po kliknięciu "TAK", Vidro wysyła SMS-a, którego koszt wynosi 2 zł. Wiadomości są wysyłane co 24 godziny.

iOS - system doskonały?

System iOS uchodzi za dużo bezpieczniejszą platformę w porównaniu z Androidem. Trudno się z tym nie zgodzić, zwłaszcza w odniesieniu do wspomnianej wcześniej statystyki prezentującej ilość szkodliwych programów pisanych dla konkretnych systemów mobilnych. Nie można jednak powiedzieć, że Apple nie zaliczyło nigdy wpadki pod tym kątem.

W lipcu 2012 roku, rosyjskojęzyczni użytkownicy sklepu App Store mogli znaleźć i pobrać aplikację „Find and Call”. Z opisu programu wynikało, że oferuje on darmowe połączenia między posiadaczami aplikacji. Szybko jednak się okazało, że komentarze osób, które pobrały „Find and Call”, są bardzo nieprzychylne. Pojawiły się też informacje o wysyłaniu spamu przez ten program. Sprawą zainteresował się operator telefonii komórkowej w Rosji – firma MegaFon, która poinformowała nas o całej sytuacji. Po przeanalizowaniu kodu, okazało się, że jest to trojan SMS. Po zainstalowaniu na telefonie aplikacja może wysyłać do wszystkich osób z książki adresowej SMS-y z sugestią pobrania programu.

W ten sposób złośliwy program naraża nas nie tylko na dodatkowe koszty, ale także na rozsyłanie spamu do naszych znajomych. Na tym jednak nie kończy się jego działanie. Po uruchomieniu aplikacji użytkownik zostanie poproszony o wprowadzenie adresu e-mail lub numeru telefonu. Jeżeli użytkownik będzie chciał „znaleźć” przy pomocy Find and Call konkretną osobę z książki telefonicznej, jego dane łącznie z informacjami o kontaktach zapisanych w telefonie, zostaną wysłane na serwer twórców aplikacji, czyli trafią prosto do rąk cyberprzestępców.

Pod latarnią najciemniej...

Jedną z największych bolączek producentów systemów są błędy w kodzie, potocznie nazywane dziurami lub lukami. Zjawiska tego praktycznie nie da się wyeliminować i prędzej czy później nowa dziura zostanie gdzieś znaleziona. Wszystko sprowadza się do tego, co znalazca będzie chciał z taką wiedzą zrobić. Jeżeli o znalezieniu błędu jako pierwszych powiadomi twórców systemu/aplikacji, to da im tym samym czas na reakcję, dzięki czemu bezpieczeństwo użytkowników nie jest zagrożone (lub też zagrożenie jest minimalne). Inną opcją jest skorzystanie z luki lub sprzedaż takiej informacji na czarnym rynku. W tym przypadku może dojść do licznych ataków i nadużyć ze strony atakującego, zanim producent pozna metodykę nowego zagrożenia.

Wydawać by się mogło, że uaktualniony system operacyjny to gwarancja bezpieczeństwa. Niestety czasami zaniedbania dopuszcza się nie tyle producent danej platformy, co autorzy aplikacji mobilnych. Luki w dodatkowym oprogramowaniu mogą pomóc w uzyskaniu praw administratora lub odpowiadać za wycieki danych. Z tym ostatnim problemem mogli spotkać się użytkownicy programu Tumblr, popularnego serwisu mikroblogowego. W połowie 2013 roku Tumblr poinformował swoich użytkowników o konieczności aktualizacji aplikacji przeznaczonej na platformę iOS. W oficjalnym oświadczeniu napisano, że w określonych sytuacjach może dojść do przejęcia hasła. Zalecono jak najszybszą aktualizację programu oraz zmianę hasła do profilu.

"We have just released a very important security update for our iPhone and iPad apps addressing an issue that allowed passwords to be compromised in certain circumstances. Please download the update now."

Jaki ma to związek z bezpieczeństwem systemu iOS? Mniej więcej w tym samym czasie przeprowadziliśmy ankietę wśród naszych fanów na Facebooku. Okazało się, że globalnie około 20% respondentów stosuje te same hasła do logowania się do wszystkich kont internetowych. Można w takim razie założyć, że część posiadaczy telefonów z systemem iOS, używa tego samego hasła do logowania się zarówno w iTunes jak i na innych stronach i portalach.

Na powyższym przykładzie możemy zauważyć dwa problemy. Po pierwsze, luki w aplikacjach mobilnych przekładają się na bezpieczeństwo całego systemu. Nie chodzi jedynie o wyciek danych i haseł, ale także o eskalację uprawnień, które pozwalają atakującemu na przejęcie kontroli nad telefonem. Po drugie, bardzo ważna jest regularna zmiana haseł i stosowanie innego, unikatowego hasła do każdego konta.

Na bezpieczeństwo systemu iOS wpływają nie tylko aplikacje czy ostrożne zachowanie użytkownika. Mimo że system firmy Apple jest dość bezpieczny to zdarzały się sytuacje, że wykrywano tam luki pozwalające na pewne nadużycia. Przykładem może być najnowsza, siódma wersja systemu iOS. Niedługo po oficjalnej premierze doszukano się kilku niedociągnięć, przez które osoby trzecie mogły uzyskać dostęp do danych, takich jak kontakty czy zdjęcia. Wystarczyło w odpowiedniej kolejności wykonać kilka czynności na zablokowanym ekranie iPhone’a, aby uzyskać dostęp do aparatu i wszystkich zapisanych w telefonie zdjęć. Istniała także możliwość udostępnienia tych zdjęć poprzez konta właściciela telefonu. W efekcie każda osoba, której udało się złamać zabezpieczenie, mogła wejść w posiadanie kont e-mail do serwisów takich jak Twitter czy Flickr. Wybierając opcję udostępnienia poprzez iMessage, włamywacz uzyska dodatkowo dostęp do pełnej książki adresowej urządzenia.

Wcześniejsze wersje systemu iOS także zawierały mniejsze lub większe błędy, które narażały użytkowników na pewne zagrożenia. Pokazuje to, że nie ma systemów idealnych i nigdy nikt nie da nam stuprocentowej gwarancji bezpieczeństwa.