Android, czyli złośliwe oprogramowanie co 10 sekund

Przeczytaj także: Złośliwe oprogramowanie: Android pod ostrzałem

Niechlubne 10 sekund

Tylko na przestrzeni I kwartału br. analitycy wykryli aż 846 916 nowych próbek złośliwego oprogramowania wycelowanego w użytkowników systemu Android. Szacunki wskazują, że dziennie debiutuje przeciętnie 9 411 nowych szkodników, a to oznacza, że debiutant pojawia się co 10 sekund.

Jak wyliczają analitycy G DATA, w tym roku może pojawić się aż 3,4 miliona nowych próbek złośliwego oprogramowania na Androida. Takiej aktywności cyberprzestępców trudno się jednak dziwić - doskonale zdają sobie oni sprawę, że smartfony to urządzenia, które towarzyszą nam dziś niemal na każdym kroku - od zakupów po korzystanie z usług bankowości elektronicznej. Developerzy systemu Android robią, co w ich mocy, by szybciej i bardziej efektywnie dostarczać ważne aktualizacje dla smartphone’ów i tabletów. Dzięki aktywnemu zamykaniu luk w zabezpieczeniach, zagrożenie atakiem ze strony cyberprzestępców jest mniejsze.

Certyfikat nie dla wszystkich

Firma Google przestała wydawać certyfikaty dla urządzeń z systemem operacyjnym Android 7 („Nougat”). Decyzja ta nikogo nie dziwi, ponieważ poprzez wdrożenie między innymi projektu „Treble”, firma rozpoczęła działalność mającą na celu przekonanie producentów do dostarczania aktualizacji i najnowszych wersji systemu Android dla smartphone’ów w odpowiednim czasie.

Dla producentów posiadanie certyfikatu to jednak kluczowa kwestia. Jest to jedyny sposób na uzyskanie dostępu do Google Mobile Services, gdzie można znaleźć wszystkie usługi oraz aplikacje firmy Google (w tym Playstore). Wymagania, jakie muszą spełnić, by uzyskać certyfikat, przedstawiono w dokumencie zatytułowanym „Compatibility Definition Document” definiującym zasady dotyczące zgodności dla celów certyfikacji. Na chwilę obecną obowiązkowe jest dostarczanie smartphone’ów i tabletów z systemem operacyjnym Android 8. W ten sposób dla wszystkich nowych urządzeń wdrażany jest projekt „Treble”. Jednak czyżby producenci już zdążyli odkryć jakieś luki? Właśnie taką sytuację sugeruje najnowszych raport stworzony przez specjalistów ds. zabezpieczeń Security Research Labs.

Czy producenci oszukują w kwestii aktualizacji systemu Android?

Specjaliści ds. zabezpieczeń krytykują producentów smartphone’ów i twierdzą, że nie dotrzymują oni słowa w zakresie aktualizacji dostarczanych użytkownikom oraz instalowanego na ich urządzeniach systemu Android. Ponad 1000 smartphone’ów, w tym urządzenia od znanych producentów, musi stawić czoła zagrożeniu i chodzi tu w szczególności o urządzenia klasy podstawowej i średniej. Użytkownicy otrzymują informację, że ich urządzenie zostało wyposażone we wszelkie dostępne aktualizacje, w tym aktualizacje zabezpieczeń, podczas gdy w rzeczywistości próżno ich szukać.

Producenci idą nawet o krok dalej i zmieniają datę ostatniej aktualizacji, w rzeczywistości nie oferując niczego nowego. Użytkownicy nie są w stanie tego zauważyć i przyjmują, że ich urządzenia są w pełni zaktualizowane.

Jednak nie zawsze producentom przyświecają w tym kontekście złe intencje. Dla niektórych z nich przyczyną błędnego dostarczania aktualizacji mogą być problemy techniczne. Kluczową kwestią są także wbudowane procesory: smartphone’y z czipami firmy Samsung są dla przykładu dużo mniej narażone na niebezpieczeństwa niż urządzenia z procesorami od firmy Mediatek. Wynika to z faktu, że producenci smartphone’ów w kwestii łatania luk, polegają na dostawcach procesorów. W przypadku, gdy aktualizacja nie jest dostarczona przez producenta czipów, dostawcy urządzeń nie są w stanie jej opublikować.

Procesy wytaczane w zakresie ochrony konsumentów w związku z bałaganem w aktualizacjach

Bałagan panujący na polu aktualizacji wprowadza zamęt zarówno pośród konsumentów poszukujących najlepszej opcji zakupu, jak i ekspertów. W przypadku tanich smartphone’ów kupujący są często gotowi zaakceptować na przykład niższą jakość aparatu fotograficznego. Taką informację można z łatwością znaleźć w opisie produktu. Jednak nie da się sprawdzić, kiedy i na jak długo pojawią się aktualizacje dla każdego z urządzeń. Przez większość czasu można jedynie odwoływać się do fabrycznie zainstalowanej wersji systemu operacyjnego.

Centrum porad konsumenckich w Nadrenii Północnej-Westfalii zależy na wprowadzeniu zmian w tym zakresie. W zeszłym roku instytucja ta wytoczyła proces sprzedawcy sprzętu elektronicznego, który oferował smartphone’y w cenie 99 euro. Już w momencie sprzedaży w urządzeniu obecne były luki w zabezpieczeniach, którym można było zaradzić. Miało ono zainstalowany nieaktualny system operacyjny Android w wersji 4.4 („KitKat”), który po raz pierwszy pojawił się na rynku w 2013 roku. Nawet po uwagach ze strony Federalnego Biura Bezpieczeństwa Informacji (BSI) w 2016 roku, producent nie podjął żadnych kroków i nie pojawiły się aktualizacje dla tych smartphone’ów.

Centrum porad konsumenckich mogło również wytoczyć proces firmie Google jako developerowi systemu Android lub producentowi urządzeń mobilnych. W ostateczności jednak zdecydowało się pozwać sprzedawcę jako stronę bezpośrednio zaangażowaną w zawieranie transakcji z konsumentami zobowiązaną do informowania klientów o lukach istniejących w nowych urządzeniach.