Mobiilseadmed võivad olla väga ebaturvalised, eriti nutitelefonid. Võtame näiteks Androidi. Kui ostate Androidi nutitelefoni, sisaldab see harva ainult Androidi. Sageli üritavad tootjad lisada nutitelefonile oma rakendusi ja teenuseid ehk neid äppidega küllastada. Kuid lisaks lihtsalt tüütusele võib nendes rakendustes ja teenustes olla oma nõrkusi. See seab nutitelefonid põhimõtteliselt ohtu juba enne seadme kasutaja kätte jõudmist.

Seisuga november 2019 teatab Kryptowire, et Androidi nutitelefonides on koguni 146 turvaauku eelinstalleeritud rakenduste ja püsivara kujul. Need haavatavused leiti 29 müüjalt, sealhulgas sellistelt ülemaailmsetelt suurettevõtetelt nagu Samsung, Asus ja Xiaomi. 146-st turvaaugust 41 (28,1%) puudutab süsteemi omaduste muudatusi ja 34 (23,3%) rakenduste installimist.

Kryptowire tegevjuhi Angelos Stavrou sõnul “oli eesmärgiks välja selgitada, kui lihtne on tungida kellegi seadmesse ilma, et kasutaja laeks alla mõnda rakendust.” Lisaks märgib Stavrou, et “kui probleem on seadmes, tähendab see, et kasutaja pole võimalust ennast kaitsta. Kuna kood on sügavalt süsteemi peidetud, ei saa kasutaja enamikul juhtudel rikutud funktsionaalsuse kõrvaldamiseks midagi teha.”

Peamine probleem on selles, et erinevalt kahtlase rakenduse allalaadimisest kasutaja poolt on need haavatavused nutitelefoni eellaaditud. Teisisõnu, kasutajad saavad kahtlase allalaaditava faili alati kustutada, kuid mitte eelinstalleeritud tarkvara.

Aastal 2018 avaldas Kryptowire sarnase raporti, viidates 10 populaarse Androidi seadme haavatavustele. Kuid nende viimane aruanne sisaldab olulist erinevust. WIREDi andmetel on Kryptowire loonud tööriista, mis otsib probleeme püsivara tasemel. See töötab isegi siis, kui seadet ennast füüsiliselt ei kasutata. Lisaks töötab vahend järgmiselt:

  • Kontseptsiooni tõestuse (Proof of Concept) automaatne loomine.
  • Haavatavuse olemasolu kinnitamine, võimalike valepositiivsete teadete vältimine.
  • “Ohtlike seisundite” otsimine. See viitab toimingutele, nagu ekraanipiltide hankimine, helisalvestus ja seadete muutmine, kui seade seda tegema ei peaks.

Tootja vastutus

Muidugi ei lasu kogu vastutus tootjatel. Osa neist haavatavustest pärineb OS-i, st Google’i tasandilt. Tehnikahiiglane kommenteeris seda avalduses: „hindame kõrgelt teadusringkondade tööd, kes teevad meiega koostööd selliste probleemide vastutustundlikul lahendamisel ja avalikustamisel”. Google’il on oma protsess nimega Build Test Suite (BTS), mis ülaltoodud potentsiaalselt kahjulikud nõrkused välja filtreerib. Ehkki BTS oli vaid pisut üle aasta vana, suutis see tuvastada 242 installimisega seotud probleemi enne, kui need jõudsid tarbijani.

Vaatamata sellele, et Kryptowire avalikustas mõjutatud müüjatelt avastatud haavatavused, ei usu kõik tootjad, et need nõrkused peaksid muret tekitama. Võtame näiteks Samsungi. Kryptowire aruandes viidatakse Samsungi nutitelefonide 33 haavatavusele, mis pärinevad 6 eelinstalleeritud rakendusest. Neist rakendustest 4 loodi tootja poolt. Samsung väidab, et laiema Androidi turvaraamistiku tõttu ei kujuta need nõrkused ohtu. Samsungi selleteemaline avaldus kõlab järgmiselt: “Pärast Kryptowire teavitust oleme kõnealuseid rakendusi viivitamata uurinud ja teinud kindlaks, et sobiv kaitse on juba loodud.”

Sõltumata tegelikest ohtudest, mida haavatavused võivad tekitada või mitte, ei paku enamik Androidi tootjaid vigadest teatamiseks ja nende hilisemaks parandamiseks sobivaid protseduure. Näiteks Samsungil on ressursid, mis on vajalikud nende nähtuste põhjalikuks uurimiseks. Kuid see pole nii teiste, Samsungist väiksemate, müüjate puhul. Tsiteerides WIREDit: “Kui mitte arvestada Google’i enda Pixeli tooterida ja käputäit häid ressursse omavaid tootjaid, jõuavad turbevärskendused Androidi seadmetesse aeglaselt isegi kõige soodsamatel asjaoludel.”

Ründajad on kõikjal

Kuid turvaohud ei piirdu ainult eelinstalleeritud rakenduste ja püsivaraga. Mõnikord võib selle vallandada lihtsalt kasutaja toiming. Näiteks on rakenduste paigaldamine mujalt kui Google Play poest kõige levinum viis, kuidas pahavara ja muud rünnakud Androidi süsteemidesse pääsevad. Juba oktoobris teatas Symantec Android Dropperi rakendusest, mis suutis 6 kuu jooksul Indias, Venemaal ja USA-s nakatada 45 000 seadet. xhelper nime saanud pahatahtlikku rakendust levitati peamiselt tundmatutes allalaadimisallikates, mitte seaduslikes poodides nagu Google Play Store.

Mõnikord võib isegi Play Store ise põhjustada tõsiseid turvaauke. Mõne kuu eest selgus, et Google Play poes nakatus 34 rakendust pahatahtliku klikker-troojaga, seades ohtu üle 100 miljoni Androidi kasutaja. Võib-olla kahekordistab Google oma jõupingutusi Play poe turvalisuse suurendamisel. Kuid on tõenäoline, et ründajad töötavad samamoodi. Google Play Protecti abil on ettevõte “tuvastanud ja eemaldanud pahatahtlikke arendajaid kiiremini ning peatanud kahjulike rakenduste sisenemist Google Play poodi kui kunagi varem. Tagasilükatud taotluste arv kasvas rohkem kui 55% ja rakenduste peatamisi suurendasime enam kui 66%.”

Nutitelefonide turvalisuse tagamine

Mida saavad kasutajad teha, et nutitelefone häkkerite ambitsioonikate rünnakute eest kaitsta? Tegelikult päris palju. Üksikud toimingud on ilmsed, teised mitte nii väga. Alustuseks on Androidi kasutajatel soovitatav rakenduste allalaadimisel jääda ainult Google Play poe juurde. Tundmatutest allikatest allalaadimine ei kahjusta mitte ainult teie seadme turvalisust, vaid võib põhjustada ka häireid telefoni töös. Google Play pood ei pruugi olla täiesti kaitstud. Kuid see on parim võimalus kindlustada, et kasutate ainult turvalisi rakendusi.

Muidugi on lugu eelinstalleeritud rakenduste haavatavuste puhul natuke keerulisem. Kasutajad ei saa nendega seoses palju ära teha. Android-telefoni ajakohasena hoidmine on alati kindel valik.

Lisaks on enamik kasutajaid kogunud oma nutitelefonidesse aja jooksul palju rakendusi. Kuid mitte kõiki neid rakendusi ei kasutata regulaarselt. Nagu tavaliselt, oleks mõistlik kõik kasutamata rakendused aja jooksul kustutada. Lisaks oleks arukas telefoni sageli puhastada.

Viimaks soovitame kasutada telefoni viirusetõrjerakendust. See lisab telefonile täiendava turbetaseme. Kuid turvalisus saavutatakse telefoni üldise jõudluse hinnaga.

Kokkuvõttes on mobiilseadmed nagu Android-süsteemid ainult nii haavatavad kui ennetava turvalisuse meetmed. Kuigi Google’i sarnased ettevõtted üritavad tagada turvalisemat Androidi kasutuskogemust, liituvad pingutustega ka telefonitootjad. Ka kasutajal lasub vastutus Androidi nutitelefonide kasutamisel ennetava turvalisuse tagamiseks.

Mobiiliturvalisus